2021年5月初爆發的Colonial Pipeline事件導致美國區域性地區陷入能源危機,受到了美國乃至全球的關注。這是一場由勒索軟體網路攻擊引發的關鍵能源基礎設施危機,對社會運轉造成了嚴重影響。從Colonial Pipeline被迫支付贖金,到相關執法機構定位犯罪團伙的裝置並最終追回部分贖金,整個過程充滿了戲劇性。遺憾的是,無論是官方的通告亦或是其它公開的分析報告,均只針對該事件本身提供了簡單分析,忽略了作為勒索軟體服務提供商的DarkSide更為深層次的行為模式和過往行動。
正所謂知己知彼,方能百戰不殆。在接下來的內容中,我們首先帶領大家從區塊鏈鏈上交易的視角回顧此次事件,還原贖金的全部流動過程。緊接著以本次事件為線索,對其背後的犯罪團伙進行深入剖析。透過分析DarkSide的贖金操縱模式,再結合區塊資料,我們推測這個犯罪團伙從2020年10月至2021年5月至少參與了51起勒索軟體攻擊事件,涉事贖金累計高達9300萬美元。這意味著大量的勒索事件在悄無聲息地發生著,暴露在我們眼前的或許只是冰山一角。
可以在文章最後點選 【閱讀原文】或者點選: https://www.blocksecteam.com/papers/blocksec_aml_colonial_pipeline.pdf 獲取關於Colonial Pipeline事件的詳細報告原文。
0x1. 背景
2021年5月初,美國最大的燃油管道運營商 Colonial Pipeline 在毫無預警的情況下關閉旗下4條主幹成品油管道長達一週時間,導致美國區域性地區陷入能源危機。作為關鍵能源基礎設施,Colonial Pipeline的突然“崩潰”受到了美國乃至全球的關注。究其原因,不僅是它對社會運轉造成了嚴重影響,更是因為這是一場由勒索軟體網路攻擊引發的危機。
為了儘快恢復運轉,Colonial Pipeline於5月8日按照攻擊者的要求以比特幣的形式支付贖金約440萬美元。這一舉措徹底將當事人Colonial Pipeline和勒索軟體背後的犯罪團伙DarkSide推上了輿論的風口浪尖——DarkSide是誰?受害者支付贖金這一行為是“顧全大局”還是“抱薪救火”?面對這樣基於加密貨幣的勒索軟體攻擊,應該如何去避免和應對?勒索軟體攻擊並不算是“新鮮事物”,但這次事件卻著實將這些問題推到了大眾面前。2021年5月15日,Colonial Pipeline恢復正常運營。2021年6月7日,美國司法部表示追回部分Colonial Pipeline支付的贖金。
0x1.1 時間線梳理
2021年5月7日,美國最大的燃油管道運營商Colonial Pipeline遭受勒索軟體攻擊,關閉了旗下4條主幹成品油管道[1][2]。
2021年5月8日,Colonial Pipeline按照攻擊者要求支付贖金約75 BTC[3][4]。
2021年5月10日,FBI確認此次網路攻擊中使用的勒索軟體來源為DarkSide[5]。
2021年5月13日,DarkSide聲稱其blog、payment server、CDN server已被執法機構控制:他們不僅失去了這些服務的訪問許可權,payment server上的資金 (大概率是尚未轉移的贖金) 也被轉移到了一個未知地址。此外,DarkSide宣佈將立即停止合作伙伴計劃 (the affiliate program)[6],不再作為勒索軟體供應商向他人提供勒索軟體及相關服務。但也有人猜測這是DarkSide的謊言[7]。
2021年5月15日,Colonial Pipeline恢復正常運營。
2021年6月7日,美國司法部表示成功追回Colonial Pipeline支付的部分贖金63.7 BTC[8]。
幾乎在同一時間,德國的Brenntag公司也遭受了DarkSide勒索軟體攻擊,並於5月11日支付贖金78.29 BTC[9]。
0x1.2DarkSide 是何方神聖?
DarkSide是一個網路犯罪組織,也是該組織所開發的勒索軟體的名稱。DarkSide從2020年8月初開始活動,並在不到一個月的時間內獲利數百萬美元[10]。為了提高勒索效率,DarkSide並非單兵作戰,而是以“勒索即服務” (ransomware-as-a-service,RaaS) 的形式運作——DarkSide負責提供勒索軟體,合作伙伴負責物色合適的攻擊目標並部署勒索軟體實施攻擊,勒索所得根據預設比例進行分配。根據論壇廣告,贖金低於50萬美元時DarkSide收取贖金的25%,贖金高於500萬美元時DarkSide收取的份額降至10%[11]。而從DarkSide 2.0的釋出公告來看,服務購買者也可以選擇固定比例的贖金分配方案,無論最終談妥的贖金數額,都按80:20進行分配。根據RaaS的普遍盈利策略[14],DarkSide的收入主要分兩部分:一是合作伙伴為勒索軟體服務支付的“註冊費”,二則是每次合作伙伴勒索成功後的部分贖金。
注:本文中“合作伙伴”、“服務購買者”、“服務使用者”、“攻擊者”均指代同一物件,根據語義環境交替使用。
DarkSide 2.0釋出公告截圖。可以看到DarkSide合作專案中的贖金分配策略十分靈活。
0x2.還原贖金流動過程
從Colonial Pipeline遭受勒索的事實被曝光,到最終以追回部分贖金落下帷幕,整起事件中涉及的地址和交易都未曾透過官方渠道公開披露。因此在接下來的分析中,我們主要是基於公開情報來進行推斷和驗證。
0x2.1定位關鍵地址和交易
在事件發生之初,我們能採集到與Colonial Pipeline勒索事件相關的線索主要有4條:
2021年5月8日,Colonial Pipeline支付贖金約75 BTC;
2021年5月11日,Brenntag受同一勒索軟體攻擊,支付贖金約78.29 BTC;
2021年5月13日,DarkSide聲稱其資金被執法機構控制轉移;
DarkSide以“勒索即服務”的形式運作,勒索成功後會抽取部分贖金。
根據線索1、2中兩筆交易發生的大致時間以及交易金額,我們在區塊鏈上定位到了一個疑似屬於DarkSide的錢包,其活動情況與上述線索高度吻合。下圖擷取了該錢包的相關活動細節。
注:錢包的本質是地址簇,一個錢包/簇中的地址被認為由同一實體控制。
疑似DarkSide錢包的部分活動細節。Colonial Pipeline和Brenntag勒索事件中的大部分贖金於5月13日連同錢包中的其他資金被轉移至一個未知地址。剩餘的贖金在此之前便進行了轉移,我們會在後續“贖金的去向”中給出更多細節。
上圖中的藍色節點為此次定位到的錢包地址,紫色節點為目標錢包外的地址,黃色節點為交易,節點之間的邊代表著資金流動。我們首先可以看到5月8日與5月11日分別發生了一筆交易,從交易金額來看,5月8日的交易金額約75 BTC,與Colonial Pipeline勒索事件中的贖金數額相符;5月11日的交易金額為78.29 BTC,與Brenntag支付的贖金金額一致。此外,這兩筆疑似贖金在流入目標錢包時都進行了拆分。這個模式我們會在後續對DarkSide進行深入分析時詳細介紹,它本質上是“勒索即服務”這一運作模式在DarkSide身上的體現。最後,5月13日時目標錢包中的資金幾乎全被轉移到一個紫色節點,與DarkSide宣稱的”payment server被執法機構控制、資金被轉移“相吻合。至此,定位的DarkSide錢包完全滿足了前文提到的4條線索。
2021年6月7日,美國司法部表示追回部分Colonial Pipeline支付的贖金63.7 BTC 並公開了一份查封令。藉助這一份查封令,我們驗證了以上推測的正確性,並還原了贖金的完整流動過程。
0x2.2贖金的來源
根據上一小節,5月8日時Colonial Pipeline支付的贖金經一筆交易 (下圖中的贖金拆分交易) 拆分後流入目標錢包。對交易的輸入資金進行後向追蹤,我們定位到了這筆資金的源頭——GEMINI交易所。
Colonial Pipeline勒索事件中贖金從支付到被拆分的全過程
從圖中可以看到,這筆資金從GEMINI交易所流出,先後在3個地址中停留,最終進入目標錢包。透過對比查封令中公開的勒索地址片段,GEMINI交易所下游的第一個紫色節點便是DarkSide向Colonial Pipeline提供的贖金支付地址。
查封令中透露的贖金支付地址片段
0x2.3贖金的去向
2021年6月7日,美國司法部表示追回部分Colonial Pipeline支付的贖金63.7 BTC[8]。大家可能還記得前面提到5月13日DarkSide錢包資金被統一控制轉移,而這63.7 BTC恰好逃過了那次轉移。我們在下圖中給出了Colonial Pipeline所支付贖金的主要去向。
Colonial Pipeline所支付贖金的主要去向
5月8日贖金經拆分後分兩筆流入目標錢包,15%於5月13日連同錢包中的其他資金被轉移至一個未知地址,85%於6月7日被FBI控制——具體來說,這部分資金於5月9日時開始轉移,並在轉移過程中停留在地址XXXXXXXXXXXX950klpjcawuy4uj39ym43hs6cfsegq中。根據查封令,FBI掌控了該地址的私鑰,進而查封了該地址中的全部資金,包括Colonial Pipeline支付的85%贖金。6月7日,FBI從被控制的地址中轉出約63.7 BTC,從數額上來看這筆資金很可能被歸還給了Colonial Pipeline。
根據查封令,FBI透過控制目標地址的私鑰,進而控制了該地址中存放的贖金。
0x3.深入DarkSide
上一小節中我們藉助開源情報定位到一個由25個比特幣地址組成的DarkSide錢包,這個錢包從2021年3月4日開始活躍,截止到2021年5月13日 (也就是DarkSide聲稱payment server被控制的日期),共透過57筆交易接收約341BTC,摺合美元約1930萬。
上一小節中定位的DarkSide錢包的餘額變動情況
但除了明確知道5月8日與5月11日接收的兩筆資金分別為Colonial Pipeline和Brenntag支付的贖金,我們無法確定該錢包其他流入資金的性質(是否是贖金);同時也無法得知在這1930萬之外,DarkSide是否還有其他收入 (譬如存在未知的DarkSide活躍地址)。也就是說,我們雖然抓住了DarkSide的尾巴,但尚未摸透它的脾性,遑論看清它的全貌。
為了對DarkSide形成更為準確、全面的認知,我們進行了一次探索性實驗。實驗主要包含以下內容:
參考Colonial Pipeline和Brenntag這兩起事件中的贖金流動過程,為DarkSide的贖金操縱行為建立簡易模型。我們將藉助這個模型來理解贖金流動過程中,各地址和交易扮演的角色和承擔的任務。
基於上述模型對已知的25個DarkSide地址進行分析,嘗試識別未知的勒索事件。我們在例項分析中得到了一些有意思的結論,這些結論反過來補充和最佳化了模型,併為下一步的挖掘工作提供了思路。
基於前面的所有發現和經驗,以已知的25個DarkSide地址作為種子,挖掘更多的DarkSide地址和勒索事件。最終我們一共找到了120個DarkSide地址和51起勒索事件。考慮到採用的挖掘演算法是保守的,這些可能還不是DarkSide的全部陰暗面。
為了讓大家能切身感受探索的樂趣,我們會按照時間順序來分享實驗過程,例如在3.1小節中會先建立一個簡易的贖金流動模型,隨後在3.2小節中再根據實際的實驗結果來補充最佳化。
0x3.1厲兵秣馬:建立贖金流動模型
雖然我們前面已經親眼目睹了一次勒索事件中贖金的流動過程,但如何去理解這個過程中各個交易和地址所扮演的角色仍然是一個困擾。為此,參考已知事件中的贖金流動,再結合自身的理解,我們為DarkSide的贖金操縱行為建立了一個簡易的模型。模型描述的是一次勒索事件中,贖金從受害者支付到流出DarkSide控制範圍的全過程:以贖金拆分過程為中心,贖金在拆分前的流動被統稱為贖金支付過程,拆分後則進入贖金轉移過程。這三個過程的具體定義如下:
贖金支付過程。從受害者支付贖金到贖金被拆分,可以理解為贖金拆分前的預處理過程。以贖金支付交易TXp (payment transaction)為起點,贖金經TXp流入了DarkSide提供的支付地址Pin (payment input address),隨後經過一系列轉移進入地址Pout (payment output address),Pout後續會作為贖金拆分過程的輸入地址。
贖金拆分過程。即贖金按照預設策略進行拆分的過程。該過程以地址Pout(中的贖金)作為輸入,贖金經拆分交易TXs(separationtransaction)被分為兩筆,屬於攻擊者的份額流入地址Sa (the address to receive the affiliate's share),屬於DarkSide的份額流入地址Sd(the address to receive the DarkSide'sshare)。
贖金轉移過程。即贖金被拆分後各自進行轉移的過程。理論上,屬於攻擊者的份額將被轉移至攻擊者的地址,屬於DarkSide的份額或停留在原地址、或轉移至DarkSide的其它地址、或被DarkSide使用 (例如流入交易所或暗網)。相應地,贖金轉移過程主要包含兩條線,一條是攻擊者的份額以交易TXta(transaction for the affiliate's share)為起點進行轉移,一條是DarkSide的份額以TXtd(transactionforthe DarkSide'sshare)為起點進行轉移。
需要補充的是,我們之所以持有贖金一開始是由DarkSide控制,經過拆分後部分流入攻擊者地址這一觀點,主要有如下兩個原因:1)Colonial Pipeline和Brenntag這兩起事件中的贖金,經拆分後無論是DarkSide的份額還是攻擊者的份額都流入了DarkSide的錢包,這意味著經過拆分的贖金仍暫時由DarkSide控制,需要一個轉移過程將部分贖金轉入攻擊者的地址;2)在DarkSide的payment server被控制後,部分攻擊者在相關論壇上聲討久未到賬的贖金[13],這證實了攻擊者在贖金流動過程中完全處於被動的狀態,只能等待著贖金流入自己的地址。雖然理論上存在支付過程由第三方控制的可能性,但我們認為尋找一個第三方來接收贖金的風險過大。因此總的來說,我們認為模型中的贖金流動都是由DarkSide控制的。
DarkSide參與勒索事件中贖金的流動模型
當然,模型不一定能完全貼合現實中的贖金流動。例如Colonial Pipeline的贖金支付過程擁有多個TXp、Pin與Pout之間存在兩個交易和一個地址;另一邊也有例項的Pin和Pout是同一地址,這意味著贖金在支付後直接進行了拆分。又比如下面這個例項,屬於DarkSide的份額在轉移時被分為4個批次,也就是說這個案例中存在多個TXtd。還有一點很有意思,一個贖金拆分過程是可能包含多個拆分交易(TXs)的,我們會在後面詳細闡述這一部分。
現實中的贖金流動可能與模型存在出入。例如在這個例項中,贖金經拆分後屬於DarkSide的份額被分為4個批次進行轉移,依次是1.0 BTC、2.0 BTC、3.65 BTC以及 4.0 BTC。
最後我們還要著重介紹下贖金拆分過程。正如一開始提到的,這個模型以“贖金拆分過程”為中心。除了位置因素,還因為它相對於另外兩個過程具有更穩定和顯著的特徵。支付過程和轉移過程中都存在不定長資金流,且其中的交易不具有明顯的特徵;而另一邊,贖金拆分過程的結構簡單穩定,結合DarkSide公開的贖金分配策略以及Colonial Pipeline和Brenntag這兩個案例,其中的拆分交易還具有以下特徵:
僅有一個輸入地址(可以有多個輸入,但這些輸入須來自同一個地址,例如Colonial Pipeline這個案例);
有且僅有兩個輸出,且兩個輸出分別輸出至不同的地址;
兩個輸出與輸入之間的比例符合DarkSide的贖金拆分策略;
輸出地址中不包含輸入地址。
因此某種意義上,贖金拆分交易可以視作贖金流動過程這個不穩定結構的錨點。如果我們可以找到贖金拆分交易,就有機會還原出贖金的流動過程。
0x3.2投石問路:模型的應用和修正
對DarkSide的贖金操縱行為有了初步瞭解後,我們來嘗試挖掘已知DarkSide地址參與的未知勒索事件。根據模型,如果一個地址參與了一個贖金流動過程,那麼它可能參與支付/拆分/轉移之中的任一過程。也就說,以該地址為中心的一定資金流動範圍內,可能存在贖金流動過程。由於贖金流動過程具有不穩定結構,導致很難直接對其進行識別,我們最終決定透過識別贖金拆分交易來定位贖金流動過程。識別一個DarkSide地址所參與贖金流動過程中拆分交易的方法我們會在3.3小節給出,這裡我們先只考慮“DarkSide地址自身參與贖金拆分交易”這一類情況。
要識別一個DarkSide地址參與的贖金拆分交易,只需要在該地址作為輸入地址或輸出地址的交易中查詢符合拆分交易特徵的交易即可。考慮到DarkSide的贖金拆分策略十分靈活 (參見背景介紹),我們為特徵3設定了一個寬鬆的篩選策略來避免遺漏——兩個輸出中的較大份額 (即攻擊者份額) 與交易輸入 (贖金) 的比例位於0.75~0.9之間 (誤差0.001)。經過分析,向已知25個DarkSide地址轉入資金的交易共有57筆,其中有25筆符合上述篩選條件。假設這25筆交易的確是贖金拆分交易,那麼贖金的金額和拆分情況將如下圖所示。
25筆疑似贖金拆分交易的交易金額和贖金分配情況。注意,贖金分配比例的計算方式是每個輸出與總輸入的比值,因此會出現分配比例之和不為1的情況——這部分“消失”的輸入作為交易手續費被消耗了。
25筆交易中有21筆的輸出幾乎是按80:20分配,有2筆按85:15分配 (即5月8日的Colonial Pipeline和5月11日的Brenntag)。鑑於這些交易具有十分清晰的分配比例,我們認為它們有極大概率是贖金拆分交易。相較之下,3月4日以及5月13日發生的兩筆交易則不那麼“典型”。
對3月4日發生的交易,其輸入只有約107美元,且兩個輸出與輸入的比值分別為0.1和0.79 (11%輸入作為交易手續費被消耗)。對這筆交易的資金進行前後向追蹤後發現,它極有可能參與了某起勒索事件的贖金轉移過程——3月3日發生了一筆疑似贖金拆分交易 (按80:20分配),其中屬於DarkSide的份額在轉移過程中於3月4日透過目標交易進入已知的DarkSide錢包。
3月4日發生的交易疑似參與了一起勒索事件的贖金轉移過程
對於5月13日發生的交易(記作TX1),其作為贖金拆分交易存在兩個異常。首先是它的輸入約為100萬美元,但DarkSide卻僅收取了12%作為分成。其次是它發生在2021-05-13 16:58:47,而DarkSide的payment server被執法機構控制是在2021-05-13 18:03:26,如果TX1是贖金拆分交易,那麼這起事件的受害者未免過於不幸。此外,我們同樣對TX1的資金進行了前後向追蹤,發現TX1的輸入地址A1疑似在更早的時候參與了另一起勒索事件——2021年2月9日左右,贖金從GEMINI交易所流入地址A1,隨後在TX2處進行拆分。在這個贖金流動過程中,地址A1極有可能扮演了支付地址的角色。如果贖金支付地址不會被複用於不同的勒索事件,那麼同樣以A1作為輸入地址的TX1就不應該是一個贖金拆分交易。
5月13日發生的交易可能不是贖金拆分交易
總的來說,這25個已知的DarkSide地址極有可能參與了23筆贖金拆分交易。但這意味著23起勒索事件嗎?其實不然,拆分交易是贖金流動過程的錨點,卻不等價于勒索事件——因為一個拆分過程中可能包含多筆拆分交易。
細心的讀者可能已經發現,我們在篩選贖金拆分交易時並沒有限制它的交易金額。雖然有情報[12]表明DarkSide參與的攻擊事件中贖金通常位於20萬到200萬美元之間,但考慮到Colonial Pipeline和Brenntag支付的贖金已經遠超200萬美元,我們便決定放寬限制。而這一“放水”帶來了十分有意思的結果——5月4日有9筆贖金拆分交易的交易金額不超過5萬美元,5月1日更是有一筆僅價值2870美元的拆分交易。雖然金額不足20萬,這些交易卻具有“完美”的80:20拆分比例,那麼他們是不是拆分交易呢?
對於5月4日連續發生的9筆拆分交易,列印相關資金轉移後可以發現這些交易高度關聯:它們具有相同的輸入地址和輸出地址,並且拆分後的攻擊者份額後續被彙總統一進行轉移。
5月4日發生的9筆疑似贖金拆分交易
類似地,5月1日價值2870美元的交易與4月30日的交易也擁有相同的輸入地址和輸出地址。
4月30日與5月1日發生的2筆疑似贖金拆分交易
不同的拆分交易,卻具有完全相同的Pout(拆分交易的輸入地址),Sa(攻擊者份額的輸出地址),Sd(DarkSide份額的輸出地址)。此外,一致的拆分比例,緊連的交易時間,拆分後資金合併轉移,這些事實讓我們很難不做出這樣的推測:這些贖金拆分交易屬於同一勒索事件,受害者分多筆交易支付贖金,進而導致了多筆拆分交易。那麼反過來,這是否意味著我們可以透過Pout/Sa/Sd來將同一事件中的多筆贖金拆分交易關聯起來?又或者說,Pout/Sa/Sd在勒索事件中的重用情況到底如何?為了回答這些問題,我們將前面找到的23筆贖金拆分交易中Pout、Sa以及Sd之間的關係整理如下。P_{out}
23筆贖金拆分交易以及參與地址之間的關聯
S_a
圖中黑色節點代表拆分交易,綠色、紅色、藍色節點分別代表Pout(拆分交易的輸入地址),Sa(攻擊者份額的輸出地址),Sd(DarkSide份額的輸出地址),節點之間的邊代表資金流動。圖中每個節點都是唯一的,每個節點的顏色也是唯一的 (沒有節點同時扮演多個角色)。根據資金流關係,這些節點被聚為8個簇,分別對應(a)-(h)。可以看到,有的贖金拆分交易是獨立存在的,例如圖(f)-(h);有的贖金拆分交易則是透過一些地址被關聯在了一起,例如(a)-(e)。下圖中給出了不同拆分交易之間的兩種關聯方式。
贖金拆分交易間的兩種關聯方式
R1: 多筆贖金拆分交易由相同的Sa連線,每個拆分交易擁有各自的Pout和Sd。我們的推測是,由同一攻擊者實施的多起事件,屬於攻擊者的份額可能會被轉入相同的Sa地址。具體來講,攻擊者擁有在RaaS系統中申請Sa地址併為他實施的勒索事件指定Sa地址的權利。如果推測正確,那麼Cononial Pipeline和Brenntag這兩起勒索事件是由同一個攻擊者發起的,因為它們的贖金拆分交易擁有相同的Sa。S_a
R2: 多筆贖金拆分交易擁有相同的Pout、Sa以及Sd。其原理可能是受害者分多筆交易支付贖金,這些贖金在相同的Pout匯合,經拆分後又流入相同的Sa/Sd,方便統一轉移。
總結一下,1)地址Sa可能被複用於多起事件,如果這些事件是由同一攻擊者實施的;2)一對Pout和Sd只被用於一起勒索事件,如果該事件擁有多筆拆分交易,那麼這些交易擁有相同的Pout、Sa和Sd。基於第二點,我們不僅可以將屬於同一事件的不同贖金拆分交易關聯起來,並且可以在僅知道一個贖金拆分交易的情況下,透過它找到同一事件中的其他拆分交易,進而補全事件資訊。
最後,我們來回答問題——這25個已知DarkSide地址參與的23筆贖金拆分交易共涉及了多少起事件?答案是14起:圖(a)中只有1起事件,圖(b)中有4起事件,(c)-(e)每圖各2起,(f)-(e)每圖各1起,累計14起。
0x3.3探賾索隱:挖掘未知勒索事件
這一小節中,我們基於前文獲得的所有資訊來嘗試挖掘未知的勒索事件。與上一小節不同的是,我們會考慮已知DarkSide地址參與支付過程和轉移過程的情況;並且在挖掘勒索事件的過程中不斷擴充DarkSide地址。挖掘的具體步驟如下:
以已知的25個DarkSide地址作為初始種子地址,記作fresh_seeds;同時初始化traced_seeds為空,用於記錄所有被分析過的DarkSide地址。
對fresh_seeds中地址的資金來源與去向進行追蹤。如果地址參與了贖金支付過程,在追蹤資金去向的過程中有機會發現拆分交易;反之,如果地址參與的是贖金轉移過程,在追蹤資金來源的過程中可能發現拆分交易。當然,也可能在地址直接作為輸入或輸出地址的交易中發現拆分交易。由於贖金支付過程和轉移過程存在不定長資金流,我們無法預知需要前向/後向追蹤多長距離才能發現贖金拆分交易。根據經驗,我們將前後向追蹤的範圍設定為4跳交易,得到交易圖Gtx。完成追蹤後將fresh_seeds新增到traced_seeds中。
從Gtx中識別勒索事件,結果記作集合SE。準確來說,我們從Gtx中識別出贖金拆分交易,並將Pout、Sa、Sd完全一致的拆分交易歸為一組,每組代表一起勒索事件。這裡的勒索事件還需要額外符合兩個特徵:1)事件包含的所有拆分交易具有相同的拆分比例,且比例只能是80:20、85:15、90:10三者之一;2)事件涉及的勒索金額累計超過10萬美元。S_{E}
對SE中每個事件,檢查其拆分交易中是否存在地址Pout、Sa、Sd不屬於raced_seeds。如是,意味著我們發現了新的DarkSide地址,將這些地址和與它們同屬一個錢包的其他地址作為新的fresh_seeds。
基於fresh_seeds重複步驟2~4 (記作一輪探索),直到fresh_seeds為空。在此過程中,Gtx會被不斷擴充 (開始新一輪探索時不會重置Gtx)。
基於最終的Gtx識別勒索事件 (同樣需要符合步驟3中列出的兩個特徵)。G_{tx}
經過5輪探索,我們最終識別了51起事件,涉事贖金累計約9300萬美元。出乎意料的是,最近兩起事件的贖金金額 (Colonial Pipeline和Brenntag支付的贖金都約為440萬美元) 可能並不是DarkSide的歷史最高記錄。根據檢測結果,2021年1月27日發生的一次勒索事件收取贖金約1500萬美元,2021年2月13日也有一次價值1000萬美元的勒索事件,而這兩起事件的贖金拆分比例也的確符合拆分策略,都是90:10。
經過上述分析,我們從區塊鏈上挖掘出了51起DarkSide參與的勒索事件,包括5月份發生的兩起已知事件。
需要指出的是,我們的挖掘方法是保守的:
首先是贖金拆分交易的判定。步驟3僅將符合80:20、85:15、90:10這三種拆分比例之一的事件識別為有效事件,但根據DarkSide的贖金拆分策略,實際的拆分比例可能更多樣化。
其次是DarkSide地址的判定。步驟4基於贖金拆分交易的輸入地址和輸出地址來擴充DarkSide地址,但根據前面建立的贖金流動模型,贖金的支付過程和轉移過程中也充斥著DarkSide地址。
這也就意味著,我們挖掘出來的還不是DarkSide的全部陰暗面。
0x4. 結語
正如文章開頭所說,Colonial Pipeline勒索事件到此告一段落,但留給我們的問題卻遠未解決。這篇文章中我們還原了Colonial Pipeline勒索事件中贖金的流動過程,剖析了DarkSide的贖金操縱行為,並基於行為特徵挖掘出了DarkSide參與的其他勒索事件。然而我們所知的依然有限:一方面,Colonial Pipeline勒索事件並非終點,新的勒索軟體攻擊事件依然在不斷地醞釀和出現;另一方面,在DarkSide之外,也存在著其它勒索軟體服務提供商。還有諸多疑問需要一步釐清:其它基於RaaS的勒索組織有著怎樣的贖金操控模式?如何識別DarkSide之外其他RaaS勒索組織實施的攻擊事件?能否透過監控區塊鏈上的交易來捕捉正在發生的勒索事件?上述問題的答案有待於我們進一步的探索,也期待在不遠的將來能給大家分享更多更為深入的發現。
參考文獻
5·7美輸油管道駭客攻擊事件
Colonial Pipeline cyber attack
Colonial Pipeline paid 75 Bitcoin, or roughly $5 million, to hackers.
Seizure Warrant
Here's the hacking group responsible for the Colonial Pipeline shutdown
The moral underground? Ransomware operators retreat after Colonial Pipeline hack
DarkSide ransomere servers reportedly seized, operation shuts down
DOJ seizes millions in ransom paid by Colonial Pipeline
Chemical distributor pays $4.4 million to DarkSide ransomware
DarkSide: New targeted ransomware demands million dollar ransoms
Shining a Light on DarkSide Ransomware Operations
Threat analysis: DarkSide Ransomware
DarkSide Getting Taken to ‘Hackers’ Court’ For Not Paying Affiliates
What is Ransomware as a Service (RaaS)? The dangerous threat to world security
