來源:Chainalysis;編譯:陶朱,金色財經
摘要
-
今年迄今為止,鏈上非法活動總量下降了近20%,顯示合法活動的成長速度快於非法活動。
-
儘管與去年同期相比,非法交易有所減少,但兩類非法活動——被盜資金和勒索軟體——卻在增加。具體來說,被盜資金流入量幾乎翻了一番,從8.57 億美元增至15.8 億美元,而勒索軟體流入量增加了約2%,從4.491 億美元增至4.598 億美元。
被竊資金
每次搶劫案中被盜的加密貨幣平均數量增加了近80%。
部分原因是比特幣(BTC) 價格上漲,比特幣佔這些搶劫案總交易量的40%。加密貨幣竊賊似乎也回歸本源,更頻繁地瞄準中心化交易所,而不是優先考慮DeFi 協議,後者是交易BTC 的不太受歡迎的工具。
包括與北韓有關的IT 工作者在內的高級網路犯罪分子越來越多地利用社會工程等鏈下方法,透過滲透加密相關服務來竊取資金。
勒索軟體
-
2024 年將成為勒索軟體支付收入最高的一年,這在很大程度上是由於這些勒索軟體發起的高調攻擊較少,但收取的贖金卻很大(業內稱為「大獵物狩獵」)。 2024 年出現了有史以來最大的勒索軟體支付,約7,500 萬美元支付給Dark Angels 勒索軟體組織。
-
支付給勒索軟體的平均贖金已從2023 年初的不到20 萬美元飆升至2024 年6 月中旬的150 萬美元,這表明這些勒索軟體優先針對的是大型企業和關鍵基礎設施提供商,這些提供商可能更有可能支付高額贖金,因為它們資金雄厚且具有系統重要性。
-
由於最近執法部門對ALPHV/BlackCat 和LockBit 等最大參與者的干擾,勒索軟體生態系統經歷了一些分裂。在這些中斷之後,一些分支機構已轉向效果較差的病毒或推出自己的病毒。
2024 年,加密貨幣生態系統取得了許多積極的發展。在美國批准了現貨比特幣和以太坊交易所交易基金(ETF) 以及美國財務會計準則委員會(FASB) 修訂了公平會計規則之後,加密貨幣在許多方面繼續獲得主流認可。但與任何新技術一樣,無論是好人或壞人,採用加密貨幣的人數都會增加。雖然今年迄今(YTD) 的非法活動與前幾年相比有所下降,但特定網路犯罪相關實體的加密貨幣流入顯示出一些令人擔憂的趨勢。
如下圖所示,今年到目前為止,合法服務的流入量是自2021 年(上一次牛市高峰)以來的最高水準。這一令人鼓舞的跡象表明,加密貨幣在全球範圍內將繼續被採用。流入高風險服務的資金(主要由不收集KYC 資訊的混合器和交易所組成)的趨勢比去年同期更高。同時,今年迄今非法活動總額下降了19.6%,從209 億美元降至167 億美元,顯示鏈上合法活動的成長速度快於非法活動。像往常一樣,我們必須提醒大家,這些非法數字是基於我們今天發現的非法地址流入量得出的下限估計值。隨著時間的推移,隨著我們歸類更多非法地址並將其歷史活動納入我們的數據,這些總數幾乎肯定會更高。
今年另一個重要更新是,我們已開始根據Chainalysis Signals 數據將可疑的非法活動納入某些犯罪類型的整體估計中。先前,我們的估計僅包括與Chainalysis 有支持文件證明其屬於某個非法實體的地址相關的總數。 Signals 利用鏈上資料和啟發式方法來識別特定未知位址或位址群集的可疑類別,置信度範圍從可能到幾乎確定。 Signals 的引入不僅隨著時間的推移增加了我們對某些類別非法活動的估計,而且使我們能夠改進前幾年的估計,因為有更多的時間來收集輸入並了解可疑活動的鏈上模式。隨著不良行為者繼續發展他們的策略,我們的檢測和破壞方法也將隨之發展。
儘管與去年同期相比,非法交易總體有所下降,但兩種值得注意的非法活動——被盜資金和勒索軟體——一直在增加。加密貨幣竊盜案中被盜資金年增,截至7 月底,幾乎從8.57 億美元翻了一番,達到15.8 億美元。在去年的年中更新中,截至2023 年6 月,勒索軟體流入總額為4.491 億美元。今年,同期勒索軟體流入量已超過4.598 億美元,這表明我們可能會看到勒索軟體的另一個創紀錄年份。
攻擊者重回,瞄準中心化交易所,被竊資金激增
與2022 年相比,2023 年被盜加密貨幣價值下降了50%,而今年駭客活動又重新興起。比較被盜金額和駭客事件的同比數量,這很能說明問題。如下圖所示,截至7 月底,今年被盜累計價值已達15.8 億美元,比去年同期被盜價值高出約84.4%。有趣的是,2024 年駭客事件的數量僅略高於2023 年,年比僅增加2.76%。根據被盜時的資產價值,每起事件的平均被盜價值增加了79.46%,從2023 年1 月至7 月的每起事件590 萬美元增加到2024 年迄今為止的每起事件1060 萬美元。
被盜價值的變動很大程度上歸因於資產價格上漲。例如,比特幣的價格從2023 年前七個月的平均價格26,141 美元上漲到今年截至7 月的平均價格60,091 美元,漲幅達130%。
比特幣的價格在這裡特別重要。 Chainalysis 追蹤的一項駭客指標是駭客攻擊發生後與被盜資金流動相關的交易量。這可以作為被盜資產的替代指標,因為很多時候被駭客入侵的服務不會公開報告被盜資產的明細。去年,這筆交易量的30% 與比特幣有關。今年,與被盜資金活動相關的BTC 交易量佔這些流量的40%。這種模式似乎是由入侵實體類型的變化所驅動的,2024 年中心化服務被駭客入侵以獲取高額資金。 DMM 等中心化交易所尤其如此,其損失了3.05 億美元。據報道,在DMM 駭客攻擊中,約有4500 個BTC 被盜,約佔2024 年被駭客攻擊價值的19%。
加密貨幣竊賊似乎又回到了他們從前的操作,在四年前專注於去中心化交易所(通常不交易比特幣)之後,再次瞄準了中心化交易所。
雖然針對DeFi 服務(尤其是跨鏈橋)的攻擊在2022 年達到頂峰,但我們推測,在中心化交易所增加了安全投資後,攻擊者已將注意力轉向了更新、更易受攻擊的組織。現在,包括與北韓有關的攻擊者在內的攻擊者正在利用越來越複雜的社會工程策略(包括申請IT 工作)來竊取加密貨幣,方法是滲透到中心化交易所中他們歷史上最主要的攻擊目標之一。聯合國最近報告稱,西方科技業公司已僱用了4,000 多名北韓人。
2024 年預計將成為迄今為止勒索軟體收入最高的一年
2023 年,勒索軟體創下了超過10 億美元的贖金記錄。這些巨額贖金來自引人注目的破壞性攻擊,例如對MoveIT 零日漏洞的Cl0p 攻擊和ALPHV/BlackCat 勒索軟體組織對凱撒酒店物業的攻擊,導致該公司支付了1500 萬美元的贖金。[1] 儘管執法部門針對勒索軟體部署者惡意軟體和組織基礎設施採取了重大行動,但這些支付仍然發生了。去年此時,我們報告稱,截至2023 年6 月底,累計勒索軟體支付約4.491 億美元。今年同期,我們記錄的贖金總額為4.598 億美元,2024 年預計將成為有史以來最糟糕的一年。
Kiva Consulting 總法律顧問Andrew Davis 表示,儘管LockBit 和ALPHV/BlackCat 造成了破壞,但勒索軟體活動仍保持相對穩定。 「無論是這些知名威脅行為者行動的前分支機構,還是新崛起的勒索軟體組織,大量新的勒索軟體組織都加入了競爭,展示了實施攻擊的新方法和技術,例如擴大其初始訪問手段和橫向移動方法。
如下圖所示,勒索軟體攻擊也明顯變得更加嚴重。一個顯著的變化是,我們在一年內觀察到的最高贖金支付激增。到目前為止,2024 年出現了有史以來最大的單筆支付,約為7500 萬美元,支付對像是一個名為Dark Angels 的勒索軟體組織。最高支付額的這一躍升也代表了2023 年最高支付額年增96%,比2022 年的最高支付額成長335%。
如果最高支付金額的快速成長還不夠糟糕的話,更令人沮喪的是,每年異常值的這種趨勢實際上反映了中位數支付的成長趨勢。這種趨勢在最具破壞性的勒索軟體事件中尤其常見。為了達到這一點,我們根據鏈上活動量將所有病毒株分為以下幾類:
-
極高嚴重程度的病毒:在給定年份收到的最高付款超過100 萬美元
-
高嚴重程度的病毒:在給定年份收到的最高付款在10 萬至100 萬美元之間
-
中等嚴重程度的病毒:在給定年份收到的最高付款在1 萬至10 萬美元之間
-
低至中等嚴重程度的病毒:在給定年份收到的最高付款在1 千至1 萬美元之間
-
低嚴重程度的病毒:在給定年份收到的最高付款少於1 千美元
利用這個分類系統,我們可以追蹤不同嚴重程度的中位數支付金額隨時間推移的異常成長。這種上升趨勢在「極高嚴重程度」的病毒株中尤為明顯,其中位數支付金額已從2023 年第一週的198,939 美元增加到2024 年6 月中旬的150 萬美元。這意味著在此期間,最嚴重病毒株類型支付的贖金通常增加了7.9 倍,自2021 年初以來增加了近1200 倍。這種模式可能表明,這些病毒株開始針對較大的企業和關鍵基礎設施提供商,由於這些目標財力雄厚且具有系統重要性,因此它們可能更有可能支付巨額贖金。
然而,如下圖所示,嚴重程度最高的勒索病毒株的表現仍低於2023 年迄今總量50.8%。這可能歸因於最大的參與者ALPHV/BlackCat 和LockBit 的執法幹擾,這導致勒索軟體運作一度停止。在這些幹擾之後,生態系統變得更加分散,關聯方遷移到效率較低的勒索病毒株或推出自己的勒索病毒株。因此,嚴重程度較高的勒索病毒株的年初至今活動增加了104.8%
勒索軟體的另一個趨勢是,攻擊也變得越來越頻繁,根據eCrime.ch 的資料外洩網站統計數據,今年迄今的攻擊次數至少增加了10%。值得注意的是,儘管今年的贖金總額有望創下歷史新高,贖金金額也創下了歷史新高,攻擊情況也日益惡化,但仍有一線好消息。在所有這些不利因素中,受害者支付贖金的頻率仍然較低。勒索軟體外洩網站的貼文數量作為勒索軟體事件的衡量標準年增了10%,如果有更多受害者受到威脅,我們預計會發生這種情況。然而,以鏈上衡量的勒索軟體支付事件總數較去年同期下降了27.29%。將這兩個趨勢結合起來看,表明雖然今年迄今為止的攻擊次數可能有所增加,但支付率卻比去年同期下降。這對生態系統來說是一個積極的信號,表明受害者可能準備得更充分,不需要支付贖金。
戴維斯表示:“在基伍組織協助受害組織處理的問題中,約有65% 已經得到解決,無需支付贖金。受影響組織繼續保持積極的恢復趨勢,無需向攻擊者支付贖金。”
雖然加密生態系統中的非法活動持續呈下降趨勢,但兩種加密犯罪似乎逆勢而上:資金被盜和勒索軟體。值得注意的是,這兩種犯罪類型往往是由具有某些共同特徵的行為者所實施的。他們通常是利用複雜網路基礎設施的有組織團體。在資金被盜案件中,與北韓有關的駭客組織是一些最大搶劫案的幕後黑手。眾所周知,這些行為者採用精心策劃的社會工程策略闖入加密企業,竊取加密資產,並利用專業的洗錢技術,試圖在資金被扣押之前套現。
打擊網路犯罪的關鍵是破壞其供應鏈,包括攻擊者、關聯公司、合作夥伴、基礎設施服務提供者、洗錢者和套現點。由於加密搶劫和勒索軟體的運作幾乎完全在區塊鏈上進行,因此擁有正確解決方案的執法部門可以追蹤資金,以便更好地了解和破壞這些行為者的運作。 eCrime.ch 研究員Corsin Camichel 表示:「我認為『克羅諾斯行動』、『獵鴨行動』和『終局行動』等打擊和執法行動對於遏制這些活動以及表明犯罪行為必將產生後果至關重要。 」
