新的和值得注意的:门罗币硬分叉改善了隐私——比特币可能仍然是犯罪分子的“最爱”
2022 年 8 月 13 日,门罗币经历了一次硬分叉,即协议升级,引入了多项新功能以提高用户匿名性和性能。 [5] EclecticIQ 分析师评估,比特币仍将是网络犯罪分子使用的最受欢迎的货币 [6],但精明的犯罪分子将转向门罗币和其他匿名增强加密货币 (AEC)。 由于其对隐私的承诺,Monero 对犯罪活动的适应在过去几年中一直在增长。 [7, 8, 9]. 越来越多的威胁参与者开始了解 BTC 交易比 Monero 和其他 AEC 更透明、更容易追踪。 然而,各国已经禁止门罗币 [10] 很多交易所都下架了 [11, 12],限制了它的流动性,从而阻碍了它的价值。 此外,最近对 Tornado Cash 的制裁 [13] 美国财政部的禁令给门罗币社区带来了不确定性和恐惧,担心美国政府也可能关闭门罗币。[14]
Monero 被认为是一种匿名增强型加密货币,因为它使用环签名、环机密交易和隐形地址来隐藏和保持用户的身份匿名。 Ring Confidential Transaction (RingCT) 是一种加密交易金额的技术。 只有发送方和接收方知道交易金额。
环签名是一种在交易输入端保护用户隐私、屏蔽发送者和交易来源的技术。 为了防止交易与发送者相关联,门罗币将用户的交易签名与其他用户的交易签名合并,从而在区块链分析中产生歧义,并使追溯具有挑战性。 在其最新的分叉中,门罗币将环大小从 11 增加到 16,这意味着需要更多的密钥来完成交易环,从而改善匿名集。
隐形地址可防止交易链接到收件人的公共钱包地址。 在门罗币中,发件人需要代表收件人为每笔交易创建随机的一次性地址。 这意味着,没有人知道哪些钱包用于发送和接收资金。
分叉还引入了性能升级和关键安全补丁。 在社区对区块链应用新的硬分叉后,门罗币的价值上涨了近 6.5%。 [15]
威胁行为者更新:LockBit 指控委托进行 DDoS 攻击; 如果证明会开创一个新的先例
LockBit 运营商指责 Entrust 在 8 月 19 日开始发布被盗的 Entrust 数据后,对其 Tor 泄漏站点进行了拒绝服务攻击。 [1]
EclecticIQ 分析师指出,没有证据表明 Entrust 或附属网络安全公司实施了这些攻击,并且评估其可能性很低。 分析人士认为,网络安全专家会知道 DDoS 攻击只会对网络犯罪活动产生有限且暂时的影响。 它不会阻止被盗数据的泄露。 从目前的案例中可以看出,LockBit 运营商“计划将 Entrust 的所有数据作为洪流上传,这将使其几乎不可能被删除。” [2] 分析师强调,勒索软件受害者或网络安全公司进行 DDoS 攻击(或任何其他形式的攻击行为)将引发前所未有的案例,并表明范式转变。
LockBit 运营商声称对 2022 年 6 月 18 日发生的针对数字安全公司 Entrust 的勒索软件攻击负责。 [3] 根据 OSINT 的说法,犯罪分子设定了 8 月 19 日支付赎金(800 万美元)的最后期限。 聊天记录显示,赎金降至 680 万美元。 在谈判失败后,该组织于 8 月 19 日开始在其 LockBit 勒索软件 Tor 博客上发布被盗数据。 [4]
发布后不久,该组织声称其 Tor 泄漏站点遭受了拒绝服务攻击。 该组织在用户代理字段中发布带有消息的 HTTP 日志,以删除 Entrust 的数据。 在报告时,LockBit 的博客镜像仍然无法访问。
关键基础设施和关键漏洞:CISA 已知已利用漏洞目录中添加了七个漏洞
8 月 18 日,美国网络安全和基础设施安全局 (CISA) 在其积极利用的漏洞列表中增加了 7 个漏洞 [16]. EclecticIQ 强烈建议按照供应商的说明修补漏洞,并将已知被利用漏洞目录纳入其补丁管理计划中以确定优先级。 添加了以下 CVE [17]:
- CVE-2017-15944 Palo Alto Networks PAN-OS 远程代码执行漏洞
- CVE-2022-21971 Microsoft Windows 运行时远程代码执行漏洞
- CVE-2022-26923 Microsoft Active Directory 域服务权限提升漏洞
- CVE-2022-2856 Google Chrome Intents 输入验证不足漏洞
- CVE-2022-32893 Apple iOS 和 macOS 越界写入漏洞
- CVE-2022-32894 Apple iOS 和 macOS 越界写入漏洞
- CVE-2022-22536 SAP 多产品 HTTP 请求走私漏洞
除 CVE-2017-15944 外,尚无有关如何利用该漏洞的详细信息。
关于 EclecticIQ 威胁研究
EclecticIQ 是威胁情报、狩猎和响应技术及服务的全球供应商。 EclecticIQ 威胁研究团队总部位于阿姆斯特丹,由来自欧洲和美国的专家组成,他们在工业和政府的网络安全和情报方面拥有数十年的经验。
我们很想听到您的声音。 请通过电子邮件发送给我们您的反馈 [email protected] 或者 填写 EclecticIQ 受众兴趣调查 推动我们对您的优先领域的研究。
结构化数据
在我们的公共 TAXII 集合中查找 Analyst Prompt 和早期版本,以便在您的安全堆栈中轻松使用。
TAXII v1 发现服务: https://cti.eclecticiq.com/taxii/discovery
请参考我们的 支持页面 有关如何访问提要的指导。
附录
- vx-地下 [@vxunderground], “Lockbit:‘我们因为 Entrust 黑客攻击而受到 DDoS 攻击’ vx-underground:‘你怎么知道这是因为 Entrust 漏洞?’ Lockbit:https://t.co/HUO2hdTbwz,”Twitter,2022 年 8 月 21 日。 https://twitter.com/vxunderground/status/1561262483448512513 (2022 年 8 月 23 日访问)。
- “LockBit 勒索软件指责 Entrust 对泄漏站点进行 DDoS 攻击,”BleepingComputer。 https://www.bleepingcomputer.com/news/security/lockbit-ransomware-blames-entrust-for-ddos-attacks-on-leak-sites/ (2022 年 8 月 23 日访问)。
- “网络安全供应商 Entrust 告诉客户数据在 6 月的网络攻击中被盗,”TechCrunch。 https://social.techcrunch.com/2022/07/27/entrust-data-stolen-june-cyberattack/ (2022 年 8 月 23 日访问)。
- 苏菲安·塔希里 [@S0ufi4n3], “#Entrust vs #Lockbit 是一个非常奇怪的案例。从聊天日志时间戳来看,谈判是在两个月前(29/06)开始的,出于某种原因,在提供 100 万美元(节省时间?)之后,Entrust 停止了谈判13/07。 仅供参考:最初的赎金为 800 万美元,然后降至 680 万美元。 https://t.co/vJMSW5oxvW,”Twitter,2022 年 8 月 22 日。 https://twitter.com/S0ufi4n3/status/1561644045604192256 (2022 年 8 月 23 日访问)。
- “门罗币硬分叉让黑客最喜欢的硬币更加私密,”BleepingComputer。 https://www.bleepingcomputer.com/news/security/monero-hard-fork-makes-hackers-favorite-coin-even-more-private/ (2022 年 8 月 23 日访问)。
- “比特币是犯罪分子的‘最爱’,用于 95% 的加密犯罪:取证,”CCN.com,2019 年 4 月 25 日。 https://www.ccn.com/bitcoin-is-criminals-favorite-claims-blockchain-forensic-used-in-95-of-crypto-crimes/ (2022 年 8 月 21 日访问)。
- M. Sigalos,“为什么一些网络犯罪分子放弃比特币,转而使用一种称为门罗币的加密货币,”CNBC。 https://www.cnbc.com/2021/06/13/what-is-monero-new-cryptocurrency-of-choice-for-cyber-criminals.html (2022 年 8 月 21 日访问)。
- F. Times,“Monero 成为网络犯罪分子的首选加密货币”,Ars Technica,2021 年 6 月 22 日。 https://arstechnica.com/information-technology/2021/06/monero-emerges-as-crypto-of-choice-for-cybercriminals/ (2022 年 8 月 23 日访问)。
- “勒索软件参与者越来越多地要求用门罗币付款,”SearchSecurity。 https://www.techtarget.com/searchsecurity/news/252512142/Ransomware-actors-increasingly-demand-payment-in-Monero (2022 年 8 月 23 日访问)。
- M. Cavicchioli,“韩国的新法规禁止门罗币交易”,The Cryptonomist,2021 年 2 月 23 日。 https://en.cryptonomist.ch/2021/02/23/south-koreas-new-regulation-bans-monero-trading/ (2022 年 8 月 22 日访问)。
- C. Shumba,“根据 Reddit 上分享的一封电子邮件,加密货币交易所 Kraken 将在英国下架隐私币门罗币,”Markets Insider。 https://markets.businessinsider.com/news/currencies/monero-kraken-crypto-exchange-delist-privacy-coin-uk-fca-regulation-2021-11 (2022 年 8 月 23 日访问)。
- “Coinbase 解释了为什么它不会列出 Monero (XMR),”Invezz,2020 年 7 月 27 日。 https://invezz.com/news/2020/07/27/coinbase-explains-why-it-wont-list-monero-xmr/ (2022 年 8 月 23 日访问)。
- “美国财政部制裁臭名昭著的虚拟货币混合器 Tornado Cash”,美国财政部。 https://home.treasury.gov/news/press-releases/jy0916 (2022 年 8 月 23 日访问)。
- Namcios,“现在当局已经批准了 Tornado 现金,接下来是比特币吗?”,比特币杂志 – 比特币新闻、文章和专家见解。 https://bitcoinmagazine.com/technical/is-bitcoin-next-after-tornado-cash (2022 年 8 月 22 日访问)。
- E. Dunne,“在最近的硬分叉之后,门罗币比以往任何时候都飙升”,InsideBitcoins.com,2022 年 8 月 21 日。 https://insidebitcoins.com/news/monero-is-soaring-higher-than-ever-after-its-recent-hard-fork (2022 年 8 月 22 日访问)。
- “CISA 在目录中添加了七个已知的被利用漏洞 | 中央情报局。” https://www.cisa.gov/uscert/ncas/current-activity/2022/08/18/cisa-adds-seven-known-exploited-vulnerabilities-catalog (2022 年 8 月 23 日访问)。
- “已知的被利用漏洞目录 | 中央情报局。” https://www.cisa.gov/known-exploited-vulnerabilities-catalog (2022 年 8 月 23 日访问)。
*** 这是一个安全博客网络联合博客,来自 EclecticIQ 博客 作者: EclecticIQ 威胁研究团队. 阅读原文: https://blog.eclecticiq.com/the-analyst-prompt-16-moneros-hard-fork-and-its-implication-to-cybercrimes