Trong Phần 1, chúng tôi đã minh hoạ cụ thể về bức tranh tổng quan về những hoạt động và rủi ro của ransomware. Ở phần 2 này, hãy cùng phân tích một cuộc tấn công ransomware nổi bật, cụ thể ở đây là ransomware Netwalker.
Đầu năm nay, Bộ Tư pháp Hoa Kỳ (DOJ) đã hành động khi công bố phối hợp thực thi pháp luật quốc tế để ngăn chặn cuộc tấn công ransomware Netwalker, bao gồm việc thu giữ gần nửa triệu đô la tiền điện tử, vô hiệu hóa tài nguyên web đen từng giao tiếp với các nạn nhân của Netwalker ransomware, và vụ bắt giữ một công dân Canada, Sebastien Vachon-Desjardins, người đã thu được hàng chục triệu đô la nhờ hoạt động như một chi nhánh của Netwalker.
Trường hợp này làm nổi bật sự tinh vi mà Netwalker vận hành, sự tác động toàn cầu của các cuộc tấn công ransomware và số tiền đáng kể mà các kẻ tấn công Ransomware đánh cắp từ các từ các nạn nhân.
Thu giữ nguồn ẩn danh web đen được sử dụng để giao tiếp với nạn nhân của phần mềm tống tiền Netwalker
Nguồn: Bộ Tư pháp Hoa Kỳ
Dưới đây, chúng tôi sẽ đưa ra những gì mà Blockchain đã phân tích cho chúng ta biết về dòng Ransomware Netwalker và làm nổi bật các yếu tố cụ thể đóng góp vào cuộc điều tra, để minh chứng việc thực thi pháp luật có thể theo dõi các khoản tiền bất hợp pháp.
Giống như nhiều chủng loại khác, Netwalker hoạt động trên mô hình RaaS, trong đó những kẻ tấn công được gọi là chi nhánh, “thuê” sử dụng một chủng loại Ransomware cụ thể từ người tạo hoặc quản trị viên của nó, những người này sẽ nhận được một khoản tiền từ mỗi chi nhánh tấn công thành công được thực hiện . RaaS đã dẫn đến nhiều cuộc tấn công hơn, điều này cản trở việc xác định tác động tài chính toàn phần. Nhưng xu hướng là rõ ràng; không có loại tội phạm dựa trên tiền điện tử nào khác có tốc độ tăng trưởng cao hơn ransomware vào năm 2020.
Netwalker là dòng ransomware hàng đầu tính theo doanh thu vào năm 2020, cùng với Ryuk, Maze, Doppelpaymer và Sodinokibi. Chainalysis đã truy tìm khoản tiền trị giá gần 94 triệu đô la trong tiền chuộc Netwalker, với khoản thanh toán có từ năm 2018. Vào giữa năm 2020, chúng đã tăng tiền chuộc trung bình từ 7.000 đô la (2019) lên 33.000 đô la. Các khoản thanh toán đã dừng lại hẳn khi chủng loại này bị gỡ xuống vào cuối tháng 1 năm 2021.
Số tiền Netwalker đã nhận được qua các khoản thanh toán ransomware hàng tháng
Theo các nhà chức trách Hoa Kỳ, Netwalker đã tác động đến ít nhất 305 nạn nhân từ 27 quốc gia khác nhau, bao gồm 203 nạn nhân ở Hoa Kỳ.
Hàng trăm nạn nhân của Netwalker trên khắp thế giới
Thông thường, có bốn thành phần nhận tiền thu được từ các cuộc tấn công của Netwalker: quản trị viên hoặc nhà phát triển (8-10%), chi nhánh (76-80%) và hai người ủy quyền (2,5% – 5%). Một chi nhánh, như Vachon-Desjardins, thường chịu trách nhiệm truy cập vào mạng nạn nhân và triển khai phần mềm độc hại. Cũng có trường hợp, một ví nhận được 100% khoản thanh toán, mà chúng tôi tin rằng thuộc về người đứng đầu (quản trị viên) Netwalker và điều này thể hiện rằng người đó cũng có thể trực tiếp tham gia vào một số cuộc tấn công.
Ảnh chụp màn hình của Chainalysis về chuyển tiền điển hình từ địa chỉ thanh toán tiền chuộc đến các những kẻ thuộc Netwalker khác nhau.
Phân tích chuỗi khối cho thấy rằng thực sự có ít hơn 20 điểm duy nhất tượng trưng cho 20 chi nhánh. Trong số các chi nhánh đó, một số hiếm khi triển khai Netwalker. Một số chuyển sang các chủng RaaS khác và Chainalysis cho thấy rằng một số chi nhánh đã nhận được khoản thanh toán từ các biến thể khác.
Quản trị viên Netwalker, người có biệt danh “Bugatti” trên các diễn đàn darknet, đã đăng một quảng cáo vào tháng 5 năm 2020 trên một diễn đàn tìm kiếm các chi nhánh nói tiếng Nga bổ sung khi các vị trí tuyển dụng đã “được giải phóng” (không còn hoạt động), điều này xác nhận việc đánh giá của chúng tôi về các chi nhánh đã chuyển sang các chủng loại khác .
Phân tích Blockchain cũng có thể cho thấy các tác nhân ransomware trả tiền cho các dịch vụ mà họ cần để vận hành doanh nghiệp tội phạm. Ví dụ: chúng ta có thể thấy ảnh bên dưới thể hiện các nhân tố thuộc Netwalker đã trả tiền cho dịch vụ lưu trữ đám mây bằng tiền điện tử, có khả năng được sử dụng để lưu trữ dữ liệu nạn nhân bị đánh cắp để tống tiền thêm. Thật vậy, Netwalker đã tăng cường các nỗ lực tống tiền của mình vào tháng 5 năm 2020 bằng cách không chỉ khóa các nạn nhân khỏi dữ liệu của họ mà còn bằng cách đánh cắp dữ liệu đó. Trước khi mã hóa các tệp máy tính trên mạng của nạn nhân, các kẻ tấn công Netwalker bắt đầu đánh cắp dữ liệu và tự động rò rỉ xuất bản dữ liệu nạn nhân trên một trang web nếu tiền chuộc không được trả trước thời hạn.
Cách các nhà chức trách sử dụng phân tích blockchain để theo dõi dòng tiền của Netwalker
Theo bản báo cáo vào tháng 1 vừa qua, Vachon-Desjardins bị buộc tội cố ý làm hỏng một máy tính đã được bảo vệ và truyền một yêu cầu. Điều này liên quan đến một cuộc tấn công ransomware Netwalker chống lại một công ty nạn nhân tại Florida.
Phân tích Blockchain đã tiết lộ có ít nhất 345 địa chỉ liên kết với Vachon-Desjardins từ tháng 2 năm 2018 với các giao dịch tiếp tục đến cuối tháng 1 năm 2021. Anh ta bị cáo buộc đã nhận được hơn 14 triệu đô la bằng Bitcoin tại thời điểm nhận tiền, cuối cùng sở hữu ít nhất 27,6 đô la triệu với giá trị ngày càng tăng dựa vào giá Bitcoin.
Theo các đối tác chính phủ, Vachon-Desjardins đã tham gia vào ít nhất 91 cuộc tấn công sử dụng Netwalker ransomware kể từ tháng 4 năm 2020, việc triển khai phần mềm độc hại này như một chi nhánh của tổ chức và nhận được 80% từ khoảng tiền chuộc.
Ngoài Netwalker, chúng tôi nghi ngờ Vachon-Desjardins đã tham gia vào việc triển khai các chủng RaaS khác như Sodinokibi, Suncrypt và Ragnarlocker. Điều này là rất phổ biến; chúng ta thường thấy các chi nhánh di chuyển sang các chủng khác nhau theo thời gian. Ngoài ra, quản trị viên Bugatti đã chia sẻ kinh nghiệm hack trước đây và coi đó như là một điều kiện tiên quyết để trở thành chi nhánh của Netwalker, điều này tương ứng với việc các chi nhánh như Vachon-Desjardins phải có khả năng như Bugatti
Đồ thị Chainalysis cho thấy các chi nhánh của Netwalker có liên quan với các chủng ransomware Sodinokibi và Ragnar Locker.
Sự liên kết giữa các chi nhánh là một yếu tố quan trọng mà các nhà chức trách cần hiểu trong cuộc chiến chống lại ransomware, vì nó cho thấy một số lượng tương đối nhỏ những kẻ tấn công đang gây ra vấn đề mặc dù có nhiều chủng loại đang hoạt động tại bất kỳ thời điểm nào. Thêm vào đó, theo nghiên cứu trước đây của chúng tôi đã cho thấy rằng một nhóm nhỏ các địa chỉ gửi tiền dịch vụ nhận hầu hết các khoản tiền bị đánh cắp trong các cuộc tấn công bằng ransomware, đây là mấu chốt để cơ quan thực thi pháp luật có thể giảm đáng kể hoạt động của ransomware bằng cách phá vỡ một nhóm tương đối nhỏ của những kẻ tấn công và nhà cung cấp dịch vụ rửa tiền.
Tiếp theo: Góc nhìn phân tích Ransomware 2021 phần cuối – Xu hướng tương lai và sự can thiệp của chính phủ (Tiếp tục cập nhật)