在Sodinokibi勒索软件会员发布用于勒索软件付款的部分交易ID之后，研究人员便能够使用该信息跟踪会员的资金踪迹，在某些情况下还可以了解他们如何使用其非法收入。

本月初，迈克菲介绍了GandCrab Ransomware作为会员的运营情况，以及在GandCrab 关闭 后 Sodinokibi Ransomware 如何招募业绩最好的人来建立一个 全明星的会员团队 。

作为此报告的一部分，它显示了名为Lalartu的分支机构如何在地下恶意软件和黑客论坛上担保Sodinokibi Ransomware RaaS。

在一份新报告中，迈克菲的研究人员通过根据以上会员发布的交易ID跟踪会员的资金追踪，继续对Sodinokibi Ransomware进行分析。

资金跟踪

在研究Sodinokibi Ransomware会员时， McAfee 从该会员名为Lalartu的会员 那里找到了 另一个论坛帖子，该会员以前曾担保过RaaS。

在此论坛帖子中，该会员发布了部分交易ID的屏幕快照，在72小时内支付了大约287,499.00美元的赎金。

会员发布的交易 （来源：McAfee）

通过查看勒索软件的现有样本，McAfee能够确定平均勒索付款在.44到.45比特币之间，相当于约4,000美元。该平均价格还与Lalartu屏幕截图中显示的赎金付款相关。

在 区块 链数据分析公司 Chainalysis 的帮助下，迈克菲能够从会员的帖子中检索完整的交易ID，并使用它们来映射与这些赎金和会员付款相关的比特币交易。

映射勒索付款 （来源：McAfee）

这些信息随后成为McAfee研究Sodinokibi RaaS及其关联公司的比特币交易的起点。

迈克菲公司网络调查负责人约翰·福克尔（John Fokker）在一次谈话中对BleepingComputer表示：“拉拉图的付款是一个开始，我们从那里开始了。” “查看会员，并根据付款部分等，我们向上游看了看开发商部分。”

从收集到的信息中，迈克菲能够查看其他勒索软件付款的情况，以及会员和RaaS运营商之间的60/40或70/30收入分配。

“我们看到受害者向他们分配的钱包付款；从那里开始，平均需要进行两到三笔交易，然后转到“附属”或“分配”钱包。从那个钱包中，我们看到分裂的发生是因为“ UNKN”这个绰号在他的论坛帖子中，我们从这篇文章开始。60％或70％的会员留在该会员，其余40/30％的会员通过多笔交易转发给Sodinokibi背后的参与者。”

通过深入研究其他Sodinokibi分支机构的比特币交易，McAfee能够更好地了解勒索软件分发者如何利用其不义之财。

例如，下面的会员将少量的未知服务和大量的服务转移到了Bitmix混合器，以尝试使追踪这些硬币变得更加困难。

跟踪会员的交易 （来源：McAfee）

迈克菲（McAfee）看到其他会员使用比特币在地下市场上购买服务。这些市场接受用于毒品，武器和黑客服务等非法物品的比特币。

更令人担忧的是，McAfee能够追踪到的较大的关联公司之一的钱包里装有443 BTC或约450万美元，表明他们是一个重要参与者。

“沿着一个特定会员的踪迹，我们最终看到大量比特币被转移到一个总价值为443 BTC的钱包中，平均比特币价格约为450万美元。”

比特币交易显然变得不那么匿名了

比特币的创建是一种去中心化的方法，它可以发送付款并为买卖双方提供更大程度的隐私，同时还提供诸如Chainalysis等新服务，但隐私正在逐渐消失。

这些服务使用已经确定的比特币地址的大型数据库，使执法部门可以更轻松地跟踪比特币的使用方式。

根据据称Chainalysis员工已删除的Reddit AMA的说法，在某些情况下，这些服务还可以用于 跟踪发件人和收件人的IP地址 。

使用IP地址，执法人员可以更轻松地追踪比特币交易中使用的机器以及潜在的相关用户。

转载自安全加：http://toutiao.secjia.com/article/page?topid=112052