コロニアルパイプラインランサムウェアの回復
7年2021月XNUMX日、米国司法省 発表の コロニアルパイプラインがDarkSideに支払った63.69BTCの身代金のうち75BTCを押収したこと。 この身代金の回収は、最近作成されたDOJランサムウェアおよびデジタル恐喝タスクフォースによって最初に行われたものです。
FBIは約85%を回復することができましたが ビットコイン
ビットコインはデジタル通貨(暗号通貨とも呼ばれます)です… その他 DarkSideに支払われた場合、これは身代金の支払い以降のビットコインの価格の下落により、最初に支払われた米ドル相当額の約半分にすぎません。 残りの11.3BTCは、下の図に示すように、別のDarkSideまたはDarkSideアフィリエイトが管理するアドレスに残りました。 資金の流れとRansomware-as-a-Service(RaaS)モデルとしてのDarkSideの運用の分析に基づいて、押収された資金はハッキングを実施したRaaSアフィリエイトが保有するものであるのに対し、押収されていない資金はDarkSideオペレーターが保有する可能性があります。 。 ランサムウェアのオペレーターは、身代金を15〜30%削減し、残りはRaaSアフィリエイト(攻撃を行うもの)に任せるのが一般的です。
ダークサイドのオペレーターは、コロニアルパイプラインの残りの資金を、数日前に攻撃された世界的な化学薬品流通会社のブレンタグを含む、他の複数の身代金支払いと統合しました。 DarkSideファンドの107.8BTCのこの統合は、現時点ではDOJによって押収されておらず、13月XNUMX日以降休止しています。
による DarkSide発作令状、FBIのサンフランシスコフィールド部門のサイバー犯罪部隊は、ブロックチェーン分析を使用して、コロニアルパイプラインの身代金支払い資金の流れを決定しました。 この令状では、FBIは、コロニアルパイプラインの身代金支払いに直接追跡可能な63.7BTCにリンクされた暗号通貨アドレスの秘密鍵を所有していることも発表しました。 これらの秘密鍵は、13月XNUMX日またはその前後にDarkSideサーバーが最近押収された結果として取得された可能性があります。 アフィリエイトに送信されたメッセージによって報告されます DarkSideRaaS操作の
の発作 cryptocurrency
暗号通貨(または暗号通貨)はデジタル資産です… その他 直接、ウォレットへの物理的なアクセスは一般的ではありません。 暗号を押収するには、法執行機関が秘密鍵にアクセスできるか、秘密鍵にアクセスできる個人にアクセスできる必要があります。 これが、ほとんどの暗号通貨が取引所を介して押収される理由です。取引所は秘密鍵を保持しているため、または財布を持っている個人や所持品の中で逮捕された後です。
コロニアルパイプラインランサムウェア攻撃
7年2021月XNUMX日、ロシアを拠点とするサイバー犯罪グループDarkSideが、米国の重要なインフラストラクチャセクターの一部であるコロニアルパイプラインを攻撃しました。 ランサムウェアの一部として、DarkSideアクターはネットワーク上のデバイスを暗号化し、暗号化されていないファイルを盗み、会社が支払いを怠った場合にそれらを一般に公開すると脅迫しました。 による ブロックチェーン
ブロックチェーン—ビットコインやその他のcの基盤となるテクノロジー… その他 分析によると、翌日、コロニアルパイプラインは75 BTCの身代金を支払いました。これは、当時4.2万ドル以上の価値がありました。 攻撃に続いて、ホワイトハウスは「公共部門、民間部門、そして最終的にはアメリカ人のセキュリティとプライバシーを脅かす永続的でますます洗練された悪意のあるサイバーキャンペーン」に対する米国のサイバーセキュリティの改善に関する大統領命令を出しました。
Brenntagランサムウェア攻撃
コロニアルパイプライン攻撃の11日後、世界的な化学薬品流通会社のブレンタグは、北米部門を標的としたランサムウェア攻撃に見舞われました。 78.5月4.4日、同社はランサムウェア事業者にXNUMX BTC(当時は約XNUMX万ドル相当)を支払いました。 コロニアルパイプライン攻撃と同様に、この攻撃の一環として、DarkSideアクターはネットワーク上のデバイスを暗号化し、暗号化されていないファイルを盗みました。 ただし、コロニアルパイプラインとは異なり、ブレンタグの資金はまだ回収されていません。
Ransomware-as-a-Serviceとは何ですか?
DarkSideは、Ransomware-as-a-Service(RaaS)オペレーションです。 RaaS運用モデルでは、マルウェア開発者は、ネットワークへのアクセスの取得、デバイスの暗号化、および被害者との身代金支払いの交渉を担当するサードパーティのアフィリエイトまたはハッカーと提携します。 この比較的新しいモデルの結果として、ランサムウェアは、マルウェアを自分で作成する技術的能力を欠いているが、ターゲットに侵入する意欲と能力を超えている悪意のある攻撃者が簡単に使用できるようになりました。
身代金の支払いは、アフィリエイトとオペレーター(開発者)の間で分割されます。 ランサムウェアのオペレーターと感染を引き起こしたアフィリエイトの間のこの分裂は、多くの場合、Ransomware-as-a-Serviceモデルの明らかな兆候です。 ほとんどのRaaSモデルでは、この分割はオペレーターに対して15〜30%、アフィリエイトに対して70〜85%です。
ランサムウェアとの戦い—次は?
NetWalkerやDarksideのようなサービスとしてのランサムウェア操作の急速な成長は、脅威アクターにとって儲かるビジネスになっています。 重要なインフラストラクチャに対するこれらの最近の攻撃は、ランサムウェアが個人に影響を与えるだけではないことを証明しています。 これが3月XNUMX日に司法省が すべての連邦検察官のための覚書を発表しました 検察官の発表は、国家安全保障に対する重大な脅威を報告するのと同じ方法で、ランサムウェアのインシデントを報告する必要があります。 ランサムウェアに適切に対抗するには、情報共有が重要です。 XNUMX月中旬、RaaSオペレーターのREvilは、学校や病院を攻撃の立ち入り禁止とみなすなど、ランサムウェアの被害者を選択する際に考慮すべき精神と期待される行動を更新したと発表しました。 この更新された方法論は、米国司法省の優先目標にならないように、REvilプロファイルを下げるための取り組みである可能性が最も高いです。
ブロックチェーン分析は、ランサムウェアアクターを追跡するために必要な重要な暗号通貨インテリジェンスを提供します。 ランサムウェアタスクフォースのようなグループを通じて協力することによってのみ、暗号通貨インテリジェンス企業はこれらの国境を越えた脅威アクターに対抗することができます。 ランサムウェアの収益を追跡してオペレーターを見つけて停止するだけでなく、システムを強化し、混乱を適切に軽減するためにこれらの侵害がどのように発生するかについて一般の人々を教育することも重要です。 インシデント対応会社には、クライアントからの身代金支払いの膨大なデータベースがあります。 これらの資金を特定して追跡することは、ランサムウェアグループの完全なプロファイルを構築するのに役立ちます。
ランサムウェアアクターは支払いを受け取るためにパブリックブロックチェーンを使用するため、すべてのトランザクションをチェーン上で表示でき、法執行機関(または誰でも)が資金の流れを追跡できるようになります。 CipherTrace Inspectorのようなブロックチェーン分析ツールを利用すると、資金が取引所にいつ預け入れられたかを特定するなど、トレースと調査にさらに追加のインテリジェンスが提供されます。 資金が一元化された取引所に到着すると、法執行機関は取引所にアカウントの凍結を要求することで資金の移動を停止できます。ユーザーがKYCプロセスを実行する必要がある場合は、住所の背後にいる個人を特定できる可能性があります。
コインスマート。 BesteBitcoin-ヨーロッパのBörse
出典:https://ciphertrace.com/ransomware-seizure-blockchain-analytics-helps-us-authorities-seize-over-2-million-in-darkside-ransom-paid-by-colonial-pipeline/
