勒索软件“金融年鉴”：Ryuk 至少赚了 1.5 亿美元

美国威胁情报公司 Advanced Intelligence 和英国威胁情报公司 HYAS 跟踪了 Ryuk 勒索软件受害者的（加密货币）资金，发现该犯罪集团至少赚取了 1.5 亿美元。

追踪归因于 Ryuk 恶意软件团伙的 61 个比特币钱包的研究人员发现，加密货币已从中介交易所转移到亚洲交易所 Huobi 和 Binance，这可能帮助他们逃过了审查。

他们发现，Ryuk 运营商主要使用上述两个合法的加密货币交易所从受害者的法定付款中兑现比特币。

当 Ryuk 受害者支付赎金时，这笔钱首先会流向经纪人，然后经纪人将其转交给恶意软件运营商。 然后，这些钱在进入合法的加密货币交易所之前经过洗钱服务，或用于支付地下市场的犯罪服务费用。

“除了火币和币安这两个大型交易所，还有大量加密货币流入一些资金较少的地址，这很可能是一种犯罪服务——将加密货币兑换（洗钱）为当地货币或其他数字货币，”研究人员解释道。

研究人员在报告中透露，在本次调查中发现的与 Ryuk 关联的钱包支付的最大一笔赎金超过 1200 万美元（365 BTC）。 但这甚至不是支付给 Ryuk 的最高赎金。

此前一份 Advanced Intelligence 报告曝光的最大一笔赎金是 2200 BTC，当时折合为 3400 万美元（截至本文撰写时200btc多少人民币，赎金价值超过 8000 万美元）。 此外200btc多少人民币，Ryuk 收到的平均赎金金额为 48 个比特币。

以法定货币兑现赎金并不是一个简单易行的过程，但 Ryuk 精心设置了一条隐蔽的资金流动链（下图），可以很容易地被安全研究人员和执法机构洗钱和转移。 亿美元的资金。

加密货币交易部分对于证明攻击和识别罪犯至关重要，因为信誉良好的交易所在将资金转移到银行账户之前需要个人文件。 但是，目前尚不清楚火币和币安对个人文件的验证有多严格。

Ryuk 没有像许多其他勒索软件操作那样使用基于网络的聊天，而是为每个受害者准备了两个唯一的 Protonmail 地址并使用它们进行通信。 由于分析师的知名度有限，很明显 Ryuk 背后的犯罪分子非常有商业头脑，知道受害者的身份、目的或支付能力。 「评分」偿付能力评分，让经营者轻松了解标的是否盈利。

Ryuk 的攻击链

Ryuk勒索病毒已经活跃了两年多，受害者不计其数。 由于组织严密，外界对琉克的内部情况和利润几乎一无所知。 另一个获利丰厚的勒索软件团伙REvil（Sodinokibi）曾通过公开代表宣布，他们通过勒索受害者一年赚取1亿美元，总目标为20亿美元，因此Ryuk的“业绩”很低。 可能远远超过 1.5 亿美元。

2020 年 11 月之前，Ryuk 的攻击主要集中在医疗行业，增加了 COVID-19 大流行的压力。 去年第三季度，Ryuk 平均每周攻击 20 家公司。 此外，Ryuk 以强硬的谈判者着称，让受害者几乎没有讨价还价的余地。

对于勒索软件预防，安全专家建议首先防止感染前体恶意软件，例如 Emotet 或 Zloader（勒索软件的主要分发渠道）。 此外，所有远程访问点都应要求多重身份验证 (MFA)，并且应限制 Office 宏和远程访问工具。 员工对网络钓鱼等网络威胁的意识培训对于远程办公已成为新常态的企业也尤为重要。