关键发现
- 2024年至今,链上非法活动总量下降了近20%,表明合法活动增长速度超过了非法活动;
- 尽管与去年同期相比非法交易有所下降,但两类非法活动——被盗资金和勒索软件却在增加;
- 被盗资金流入量几乎翻了一番,从8.57亿美元增至15.8亿美元,勒索软件流入量增长了约2%,从4.491亿美元增至4.598亿美元;
- 每次盗窃事件中被盗的加密货币平均金额增加了近80%,加密货币攻击者似乎又回到了他们的目标——中心化交易所,而不是优先考虑DeFi协议。
- 高级网络犯罪分子,包括与朝鲜有关的IT工作者,越来越多地利用链下方法,如社会工程学,通过渗透与加密相关的服务来窃取资金。
勒索软件研究发现
2024年有望成为勒索软件收入最高的一年,这在很大程度上归功于执行较少高调攻击但收取大额支付的勒索软件变种(行业称为“大猎物狩猎”)。2024年记录了有史以来最大的勒索软件支付,大约7500万美元支付给了Dark Angels勒索软件组织。
针对最严重勒索软件变种的中位数勒索支付从2023年初的近20万美元飙升至2024年6月中旬的150万美元,表明这些变种正在优先针对可能因资金充足和系统重要性而更有可能支付高额赎金的大型企业和关键基础设施提供商。
由于最近的执法行动破坏了最大的参与者,如ALPHV/BlackCat和LockBit,勒索软件生态系统经历了一些分裂。在这些破坏之后,一些附属机构迁移到效果较差的变种或推出了自己的变种。
勒索软件与加密货币
加密货币生态系统在2024年见证了一些积极的发展。在许多方面,加密货币继续获得主流接受,紧随美国批准现货比特币和以太坊交易型开放式指数基金(ETF)以及财务会计标准委员会(FASB)的公平会计规则的修订之后。但随着任何新技术的采用,合法和非法行为者都会增长。尽管与前几年相比,今年的非法活动有所下降,但特定网络犯罪相关实体的加密货币流入显示出一些令人担忧的趋势。
如下图所示,2024年流入合法服务的资金是自2021年上一次牛市高峰以来最高的,这是一个令人鼓舞的迹象,表明加密货币在全球范围内的持续采用。流入风险服务(主要由混合器和不收集KYC信息的交易所组成)的资金趋势高于去年同期。与此同时,非法活动的总体下降了19.6%,从209亿美元降至167亿美元,表明合法活动的增长速度超过了链上非法活动。这些非法数字是基于研究机构今天识别的非法地址流入量的下限估计。
Chainalysis开始将疑似非法活动纳入某些犯罪类型的总估计中,基于Chainalysis Signals数据。此前,估计只包括与Chainalysis有支持文件证明属于某个非法实体的地址相关的总数。Signals利用链上数据和启发式方法来识别特定未知地址或地址簇的疑似类别,置信度从可能到几乎确定不等。Signals的引入不仅随着时间的推移增加了我们对某些类别非法活动的估计,而且还使我们能够完善前几年的估计。
尽管与去年同期相比非法交易总体下降,但被盗资金和勒索软件这两类非法活动却有所上升。通过7月底的年增长来看,加密货币抢劫中被盗资金增加了近一倍,从8.57亿美元增至15.8亿美元。2023年6月底的勒索软件流入总计为4.491亿美元。今年同期,勒索软件流入量已超过4.598亿美元,这表明我们可能正面临另一个勒索软件创纪录的年份。
攻击者瞄准中心化交易所
2023年相比2022年加密货币被盗价值下降50%,而2024年黑客活动又出现了复苏,从被盗金额和黑客事件的数量可以看出这一点。如下图所示,截至7月底,今年累计被盗金额已超过15.8亿美元,比去年同期增长了84.4%。有趣的是,2024年的黑客事件数量仅比2023年略有增加,同比增长了2.76%。每次事件中被盗的平均金额增加了79.46%,从2023年1月至7月的每次事件590万美元增加到2024年迄今为止的每次事件1060万美元。
被盗金额的变化很大程度上归因于资产价格的上涨。例如,比特币的价格从2023年前七个月的平均价格26141美元上涨到今年7月的平均价格60091美元,涨幅达130%。
Chainalysis跟踪的一个黑客指标是黑客事件发生后被盗资金流动的交易量。这可以作为被盗资产的一个代理,因为很多时候被黑客攻击的服务不会公开报告被盗的具体细节。2024年与被盗资金活动相关的BTC交易量占这些流动的40%。这种模式似乎是由被攻击实体类型的变化所驱动的,2024年中心化服务被黑客攻击以获取高额资金。特别是像DMM这样的中心化交易所,其损失了3.05亿美元。在DMM黑客事件中,大约19%的被盗金额在2024年被盗,据报道大约有4500 BTC被盗。
加密货币攻击者似乎在四年专注于去中心化对手之后,再次回归他们的老路,瞄准中心化交易所,后者通常不交易比特币。尽管对DeFi服务——特别是跨链桥接的攻击在2022年达到顶峰,但攻击者在中心化交易所增加安全投资后,将注意力转向了更新、更脆弱的组织。现在包括与朝鲜有关的攻击者在内的黑客,正在利用越来越复杂的社会工程学策略,例如申请IT工作,通过渗透中心化交易所来窃取加密货币。
2024年有望成为勒索软件收入最高的一年
2023年勒索软件支付金额创下新高,超过10亿美元。这些巨额支付来自一些高调、破坏性的攻击,如Cl0p对Move IT零日的利用以及ALPHV/BlackCat勒索软件团伙对凯撒酒店物业的利用,导致该公司支付了1500万美元的赎金。尽管针对勒索软件的恶意部署和组织基础设施的主要执法行动,依旧出现了如此多的赎金支付,截至2023年6月底的累计勒索软件支付总额约为4.491亿美元。今年同期,我们记录的勒索软件支付总额为4.598亿美元,这使2024年坚定地走上了创纪录的道路。
Kiva咨询公司的总法律顾问Andrew Davis表示,尽管对LockBit和ALPHV/BlackCat的打击持续加大,但总体勒索软件活动依旧相对稳定。“无论是这些众所周知的威胁行为者的前附属机构,还是新的初创企业,大量新的勒索软件团伙加入了这场混战,展示了他们进行攻击的新方法和技巧,如扩大初始访问和横向移动的方法。”
如下图所示,勒索软件攻击也变得越来越严重。我们观察到的一个显著变化是每年最大赎金支付的飙升。到目前为止,2024年出现了有史以来最大的单笔支付,约为7500万美元,支付给了名为Dark Angels的勒索软件团伙。这种最大支付金额的增长也代表了从2023年到今年的最大支付金额增长了96%,从2022年的最大支付金额增长了335%。
如果迅速增加的最大支付金额还不够糟糕的话,这种每年的异常值趋势实际上还伴随着中位数支付的增长趋势。从2023年第一周的中位数支付金额198939美元增加到2024年6月中旬的中位数支付金额150万美元。这代表了在此期间最严重株系支付的典型赎金规模的7.9倍增长,自2021年初以来增长了近1200倍。这种模式可能表明,这些勒索软件组织开始瞄准大型企业和关键基础设施提供商,这些目标可能因为其雄厚的资金和系统重要性而更支付高额赎金。
勒索软件的另一个趋势是攻击也变得更加频繁,根据eCrime.ch的数据泄露网站统计,2024年到目前为止至少增加了10%的攻击。作为勒索软件事件的衡量标准,勒索软件泄露网站的帖子同比增加了10%。然而链上测量的总勒索软件支付事件同比下降了27.29%。将这两个趋势结合起来看,尽管今年迄今为止的攻击可能有所增加,但支付率却同比下降了。这对生态系统来说是一个积极的信号,表明受害者可能准备得更好,不需要支付赎金。
Davis说:“Kivu参与协助受害组织的事务中,大约有65%在没有支付赎金的情况下得到解决,显示出受影响组织的韧性和没有必要支付攻击者的积极趋势。”
尽管加密货币生态系统中的非法活动继续呈下降趋势,但两类加密货币犯罪似乎正在逆势而上:被盗资金和勒索软件。这两种犯罪类型通常由具有某些共同特征的参与者实施。它们通常是利用先进网络基础设施的有组织团体。这些参与者以精心策划的社会工程学策略而闻名,他们利用这些策略闯入加密业务,窃取加密货币资产,并利用专家级洗钱技术试图在资金被查封前套现。
打击网络犯罪的关键是破坏其供应链,包括攻击者、附属机构、合作伙伴、基础设施服务提供商、洗钱者和套现点。由于加密货币盗窃和勒索软件的运营几乎完全在区块链上进行,配备正确解决方案的执法部门可以通过追踪资金来更好地理解和破坏这些参与者的运营。
eCrime.ch的研究员Corsin Camichel指出,包括Operation Cronos、Operation Duck Hunt、Operation Endgame等打击行动和执法行动对于遏制这些活动并表明犯罪行为将会有后果至关重要。
结论
尽管加密货币生态系统中的非法活动总体呈下降趋势,但被盗资金和勒索软件这两类加密货币犯罪似乎正在逆势而上。这些犯罪类型通常由具有某些共同特征的行为者实施,他们通常是利用复杂的网络基础设施的有组织的团体。在被盗资金的情况下,与朝鲜有关的黑客组织是一些最大抢劫案的幕后黑手。这些行为者以计算出的社会工程策略而闻名,他们闯入加密业务,窃取加密资产,并利用专业的洗钱技术,在资金被查封前尝试变现。
报告还强调了通过跟踪资金流向来破坏网络犯罪供应链的重要性,包括攻击者、附属机构、合作伙伴、基础设施服务提供商、洗钱者和提现点。由于加密货币抢劫和勒索软件的操作几乎完全在区块链上进行,执法部门配备了正确的解决方案,可以追踪资金流向,更好地理解和破坏这些行为者的操作。
https://www.chainalysis.com/blog/2024-crypto-crime-mid-year-update-part-1/