勒索软件受害者通常因使用更难追踪的门罗币付款而收取的费用较低
尽管几乎所有使用勒索软件的攻击者都接受比特币支付赎金,但许多人仍然更喜欢门罗币,这要归功于执法人员更难以追踪保护隐私的硬币。
也可以看看: 今天的现场网络研讨会 | NSM-8 截止日期 2022 年 7 月:抗量子算法实施的关键
然而,随着警方越来越多地打击使用比特币的犯罪分子,专家表示,这可能会推动更多的勒索软件操作要求门罗币,或将收到的资金迅速转换为该虚拟货币。
“随着门罗币成为主要替代品,比特币仍然是赎金需求的主导者,”波士顿商业保险提供商 CISO 的 Jason Rebholz 说 乌鸦保险.
至少自 2020 年初以来,这种情况在很大程度上仍然存在,当时臭名昭著,也许现在已经不复存在 恶魔 – 又名 Sodinokibi – 操作开始要求以门罗币加密货币支付赎金,也就是“加密货币”。 但加密货币情报组织表示,受害者可以要求支付比特币,也就是 BTC,这些要求往往会被批准,尽管需要支付 10% 的溢价 密码追踪,自去年 9 月以来一直是万事达卡的一部分。
去年底出现的 Alphv/BlackCat 勒索软件操作也更喜欢在门罗币中接收赎金。 该组织是 2021 年 5 月对 Colonial Pipeline 造成灾难性影响的 DarkSide 组织的更名,当时该组织以 BlackMatter 的名义开展业务,继续收取 15% 溢价 如果受害者选择用比特币而不是门罗币付款。
门罗币:隐私保护币
运行的开源社区项目团队 门罗币 由于它使用“各种增强隐私的技术来确保其用户的匿名性”,因此使用数字货币进行的交易是“机密且不可追踪的”。
CipherTrace 说:“门罗币被认为提供了更好的匿名性,并提供了各种保护措施,可以保护交易免受审查。” “追踪这些支付的能力各不相同,但门罗币比完全公共的比特币区块链更具挑战性。”
但犯罪分子的主要动力仍然是获得报酬。 勒索软件事件响应公司首席执行官比尔西格尔说:“许多团体以两种货币提出要求,但通常会接受其中任何一种。” 小件,位于康涅狄格州韦斯特波特。 “隐私币使他们的洗钱过程更容易,所以他们显然更喜欢它,但他们仍然会接受 BTC。”
然而,对于门罗币和较少使用的加密货币来说,供应可能是一个挑战。 区块链分析公司 TRM Labs 的法律和政府事务负责人、信息安全媒体集团的撰稿人 Ari Redbord 说:“大多数赎金仍以比特币支付,因为流动性要大得多,而且更容易获得。” “许多合规的交易所基于行业和政府的压力,降低了门罗币和其他隐私币的风险。”
为什么比特币支付有溢价
印第安纳波利斯律师事务所合伙人吉列尔莫·克里斯滕森 (Guillermo Christensen) 表示,不仅仅是 Alphv/BlackCat,大多数接受门罗币的勒索软件组织通常会为想要用比特币支付的受害者增加 5% 到 20% 的溢价。 冰磨机. Christensen 管理其华盛顿办事处,专门研究网络安全规划和事件,包括围绕勒索软件的事件。
即便如此,在他处理的勒索软件事件中,只有大约 5% 到 10% 涉及门罗币支付。 “它肯定比以前更多,但它并不是其中的一个重要因素,”他说。
比特币仍然是“威胁行为者要求的主要加密货币”,尽管大多数人将接受多种类型的虚拟货币,”律师凯瑟琳莱尔说,他是索赔负责人 联盟,一家位于旧金山的网络安全保险公司。
“不是‘只接受比特币’的问题,我们已经收到了门罗币的要求,如果通过比特币付款,我们将收取 10% 到 15% 的附加费,”莱尔说。 “原因很简单:Monero,也称为 XMR,是一种以隐私为中心的加密货币。Monero 的可追溯性较低,并且提供了更多的匿名性。”
专家称犯罪分子会 有时也接受其他类型的加密货币,例如以匿名着称的 Dash,但总体而言,此类付款仅占所有已支付赎金的极小部分。
清洗比特币需要额外费用
Coveware 的 Siegel 说,近年来犯罪分子的基本计算似乎几乎没有改变:勒索软件操作寻求匿名,而掩盖比特币交易的成本更高。
“对隐私币的炒作和关注从未真正改变过,”他说。 “网络犯罪分子一直使用诸如链式跳跃之类的技术来清洗他们的收益并试图混淆资金追踪。这并不新鲜。”
链跳涉及在不同的加密货币之间跳转以试图掩盖资金踪迹。 地下网络犯罪提供的另一项服务是 剥离链,其中少量资金被不断剥离并通过其他地址路由。
另一种常见的洗钱服务: 比特币搅拌机或玻璃杯,它试图掩盖比特币的起源地址和它们被发送到的地址之间的联系。 混合提供商通常会收取他们帮助掩盖的任何资金的一定百分比。
网络犯罪论坛上的 Chatter 表明,混合门罗币没有必要,因为内置功能旨在掩盖交易流程。 尽管如此,当 AlphaBay 暗网市场重新启动 去年,它宣传的其中一项服务是门罗币混音器。
然而,没有加密货币提供完全匿名性。 例如,当执法人员破获犯罪嫌疑人并对他们的系统进行数字取证调查时,调查人员可能会识别出与非法活动相关的加密货币钱包。 同样,联邦调查局和其他执法机构继续呼吁受害者提供与攻击相关的情报,包括他们可能支付赎金的任何钱包的地址(见: FBI 警报:您是否被 BlackCat 勒索软件咬伤?)。
此类情报有助于他们更好地追踪非法资金的流动并识别其他嫌疑人,无论他们可能采取了哪些措施来试图掩盖这些活动。
跟着钱走
情报分析师可以通过识别与似乎收到赎金付款的团体相关的钱包来评估哪些类型的加密货币勒索软件团体接受(参见: 勒索软件收益:2021 年 4 亿美元流向俄罗斯)。
2 月,总部位于纽约的区块链情报公司 Chainalysis 报告称,到目前为止,它已确定 2021 年勒索软件地址收到了 6.02 亿美元,2020 年为 6.92 亿美元。随着执法机构和私营公司,这些数字可能会继续增加收集新的情报,将个人犯罪分子或集团与特定的钱包地址联系起来。
虽然越来越多的勒索软件组织与门罗币钱包有关,但情报公司报告称比特币占主导地位。 “虽然我们有超过 50 个使用 XMR 的组和菌株的列表,但使用 BTC 的列表远远超过 1,000 个,”CipherTrace 说。 “随着勒索软件的出现和消失,其中大多数将不再活跃,但 BTC 仍然是犯罪分子使用的主要加密货币。”
美国财政部下属机构金融犯罪执法网络去年 10 月报告称,门罗币交易仅占其从金融服务公司收到的可疑活动报告或 SAR 的一小部分。
所有在全球范围内处理加密货币的公司都必须遵守美国的反洗钱和“了解你的客户”规则。 这包括在发生指定类型的活动时提交 SAR。
2021 年 10 月,FinCEN 发布了 勒索软件报告 分析去年上半年收到的 SAR。 FinCEN 表示,它收到的报告数量正在激增,与勒索软件相关的 SAR 总量已从 2020 年的 4.16 亿美元增加到 2021 年上半年的 590 美元,平均每月 6640 万美元。
FinCEN 当时报告称,SAR 与 68 种不同的勒索软件变体有关,最常见的是 REvil/Sodinokibi、Conti、DarkSide、Avaddon 和 Phobos。 攻击者几乎在所有情况下都要求使用比特币,除了大约 6% 的交易,他们接受比特币或门罗币,只有 0.4% 的时间接受门罗币。
期望更多地使用隐私币?
但随着执法机构在跟踪比特币流动以及确保金融服务公司遵守“了解你的客户”和反洗钱规则方面做得更好,Coalition 的 Lyle 表示,犯罪分子对门罗币的使用似乎可能会增加。
“虽然许多人认为比特币允许纯粹匿名,但威胁行为者知道比特币交易记录在可公开搜索的区块链上,”莱尔说。 “门罗币不允许使用某些追踪元素进行交易,包括发送方和接收方的钱包地址,并阻碍政府监控/跟踪。”
除了勒索软件组,一些管理员 网络犯罪市场 也偏爱门罗币。 白宫市场于 2019 年 2 月至 2021 年 10 月运营,于 2020 年底开始 只接受门罗币. 当 AlphaBay 于 2021 年 8 月重新启动时,它是一个仅限门罗币的市场。
然而,这并不意味着门罗币交易——或用户——不会被跟踪。 “由于政府的参与,门罗币的追踪将因政府控制而发生,例如立法、法规和行政命令,”莱尔说。 “正如我们所见,勒索软件和由此产生的勒索正在受到政府的审查。”
这些努力旨在破坏和揭露任何类型加密货币的犯罪用户。 Corvus Insurance 的 Rebholz 说:“这可以通过对恶意加密货币交易所的制裁以及对 AML/KYC 对加密货币支付的更多审查中看出。” “虽然勒索软件参与者将始终通过利用加密货币享受一定程度的匿名性,但追踪和阻止非法资金访问的压力将继续增加。这可能会加速勒索软件参与者转向基于匿名的加密货币。”