暴露出来的只是冰山一角：深度挖掘ColonialPipeline事件背后隐藏的故事（上）

2021年5月初爆发的Colonial Pipeline事件导致美国局部地区陷入能源危机，受到了美国乃至全球的关注。这是一场由勒索软件网络攻击引发的关键能源基础设施危机，对社会运转造成了严重影响。从Colonial Pipeline被迫支付赎金，到相关执法机构定位犯罪团伙的设备并最终追回部分赎金，整个过程充满了戏剧性。遗憾的是，无论是官方的通告亦或是其它公开的分析报告，均只针对该事件本身提供了简单分析，忽略了作为勒索软件服务提供商的DarkSide更为深层次的行为模式和过往行动。

正所谓知己知彼，方能百战不殆。在接下来的内容中，我们首先带领大家从区块链链上交易的视角回顾此次事件，还原赎金的全部流动过程。紧接着以本次事件为线索，对其背后的犯罪团伙进行深入剖析。通过分析DarkSide的赎金操纵模式，再结合区块数据，我们推测这个犯罪团伙从2020年10月至2021年5月至少参与了51起勒索软件攻击事件，涉事赎金累计高达9300万美元。这意味着大量的勒索事件在悄无声息地发生着，暴露在我们眼前的或许只是冰山一角。

0x1. 背景

2021年5月初，美国最大的燃油管道运营商 Colonial Pipeline 在毫无预警的情况下关闭旗下4条主干成品油管道长达一周时间，导致美国局部地区陷入能源危机。作为关键能源基础设施，Colonial Pipeline的突然“崩溃”受到了美国乃至全球的关注。究其原因，不仅是它对社会运转造成了严重影响，更是因为这是一场由勒索软件网络攻击引发的危机。

为了尽快恢复运转，Colonial Pipeline于5月8日按照攻击者的要求以比特币的形式支付赎金约440万美元。这一举措彻底将当事人Colonial Pipeline和勒索软件背后的犯罪团伙DarkSide推上了舆论的风口浪尖——DarkSide是谁？受害者支付赎金这一行为是“顾全大局”还是“抱薪救火”？面对这样基于加密货币的勒索软件攻击，应该如何去避免和应对？勒索软件攻击并不算是“新鲜事物”，但这次事件却着实将这些问题推到了大众面前。2021年5月15日，Colonial Pipeline恢复正常运营。2021年6月7日，美国司法部表示追回部分Colonial Pipeline支付的赎金。

0x1.1 时间线梳理

2021年5月7日，美国最大的燃油管道运营商Colonial Pipeline遭受勒索软件攻击，关闭了旗下4条主干成品油管道[1][2]。

2021年5月8日，Colonial Pipeline按照攻击者要求支付赎金约75 BTC[3][4]。

2021年5月10日，FBI确认此次网络攻击中使用的勒索软件来源为DarkSide[5]。

2021年5月13日，DarkSide声称其blog、payment server、CDN server已被执法机构控制：他们不仅失去了这些服务的访问权限，payment server上的资金 (大概率是尚未转移的赎金) 也被转移到了一个未知地址。此外，DarkSide宣布将立即停止合作伙伴计划 (the affiliate program)[6]，不再作为勒索软件供应商向他人提供勒索软件及相关服务。但也有人猜测这是DarkSide的谎言[7]。

2021年5月15日，Colonial Pipeline恢复正常运营。

2021年6月7日，美国司法部表示成功追回Colonial Pipeline支付的部分赎金63.7 BTC[8]。

几乎在同一时间，德国的Brenntag公司也遭受了DarkSide勒索软件攻击，并于5月11日支付赎金78.29 BTC[9]。

0x1.2 DarkSide

DarkSide是一个网络犯罪组织，也是该组织所开发的勒索软件的名称。DarkSide从2020年8月初开始活动，并在不到一个月的时间内获利数百万美元[10]。为了提高勒索效率，DarkSide并非单兵作战，而是以“勒索即服务” (ransomware-as-a-service，RaaS) 的形式运作——DarkSide负责提供勒索软件，合作伙伴负责物色合适的攻击目标并部署勒索软件实施攻击，勒索所得根据预设比例进行分配。根据论坛广告，赎金低于50万美元时DarkSide收取赎金的25%，赎金高于500万美元时DarkSide收取的份额降至10%[11]。而从DarkSide 2.0的发布公告来看，服务购买者也可以选择固定比例的赎金分配方案，无论最终谈妥的赎金数额，都按80:20进行分配。根据RaaS的普遍盈利策略[14]，DarkSide的收入主要分两部分：一是合作伙伴为勒索软件服务支付的“注册费”，二则是每次合作伙伴勒索成功后的部分赎金。

注： 本文中“合作伙伴”、“服务购买者”、“服务使用者”、“攻击者”均指代同一对象，根据语义环境交替使用。

DarkSide 2.0发布公告截图。可以看到DarkSide合作项目中的赎金分配策略十分灵活。

0x2. 还原赎金流动过程

从Colonial Pipeline遭受勒索的事实被曝光，到最终以追回部分赎金落下帷幕，整起事件中涉及的地址和交易都未曾通过官方渠道公开披露。因此在接下来的分析中，我们主要是基于公开情报来进行推断和验证。

0x2.1 定位关键地址和交易

在事件发生之初，我们能采集到与Colonial Pipeline勒索事件相关的线索主要有4条：

2021年5月8日，Colonial Pipeline支付赎金约75 BTC；

2021年5月11日，Brenntag受同一勒索软件攻击，支付赎金约78.29 BTC；

2021年5月13日，DarkSide声称其资金被执法机构控制转移；

DarkSide以“勒索即服务”的形式运作，勒索成功后会抽取部分赎金。

根据线索1、2中两笔交易发生的大致时间以及交易金额，我们在区块链上定位到了一个疑似属于DarkSide的钱包，其活动情况与上述线索高度吻合。下图截取了该钱包的相关活动细节。

注：钱包的本质是地址簇，一个钱包/簇中的地址被认为由同一实体控制。

疑似DarkSide钱包的部分活动细节。Colonial Pipeline和Brenntag勒索事件中的大部分赎金于5月13日连同钱包中的其他资金被转移至一个未知地址。剩余的赎金在此之前便进行了转移，我们会在后续“赎金的去向”中给出更多细节。

上图中的蓝色节点为此次定位到的钱包地址，紫色节点为目标钱包外的地址，黄色节点为交易，节点之间的边代表着资金流动。我们首先可以看到5月8日与5月11日分别发生了一笔交易，从交易金额来看，5月8日的交易金额约75 BTC，与Colonial Pipeline勒索事件中的赎金数额相符；5月11日的交易金额为78.29 BTC，与Brenntag支付的赎金金额一致。此外，这两笔疑似赎金在流入目标钱包时都进行了拆分。这个模式我们会在后续对DarkSide进行深入分析时详细介绍，它本质上是“勒索即服务”这一运作模式在DarkSide身上的体现。最后，5月13日时目标钱包中的资金几乎全被转移到一个紫色节点，与DarkSide宣称的”payment server被执法机构控制、资金被转移“相吻合。至此，定位的DarkSide钱包完全满足了前文提到的4条线索。

2021年6月7日，美国司法部表示追回部分Colonial Pipeline支付的赎金63.7 BTC 并公开了一份查封令。借助这一份查封令，我们验证了以上推测的正确性，并还原了赎金的完整流动过程。

0x2.2 赎金的来源

根据上一小节，5月8日时Colonial Pipeline支付的赎金经一笔交易 (下图中的赎金拆分交易) 拆分后流入目标钱包。对交易的输入资金进行后向追踪，我们定位到了这笔资金的源头——GEMINI交易所。

Colonial Pipeline勒索事件中赎金从支付到被拆分的全过程

从图中可以看到，这笔资金从GEMINI交易所流出，先后在3个地址中停留，最终进入目标钱包。通过对比查封令中公开的勒索地址片段，GEMINI交易所下游的第一个紫色节点便是DarkSide向Colonial Pipeline提供的赎金支付地址。

查封令中透露的赎金支付地址片段

0x2.3 赎金的去向

2021年6月7日，美国司法部表示追回部分Colonial Pipeline支付的赎金63.7 BTC[8]。大家可能还记得前面提到5月13日DarkSide钱包资金被统一控制转移，而这63.7 BTC恰好逃过了那次转移。我们在下图中给出了Colonial Pipeline所支付赎金的主要去向。

Colonial Pipeline所支付赎金的主要去向

5月8日赎金经拆分后分两笔流入目标钱包，15%于5月13日连同钱包中的其他资金被转移至一个未知地址，85%于6月7日被FBI控制——具体来说，这部分资金于5月9日时开始转移，并在转移过程中停留在地址XXXXXXXXXXXX950klpjcawuy4uj39ym43hs6cfsegq中。根据查封令，FBI掌控了该地址的私钥，进而查封了该地址中的全部资金，包括Colonial Pipeline支付的85%赎金。6月7日，FBI从被控制的地址中转出约63.7 BTC，从数额上来看这笔资金很可能被归还给了Colonial Pipeline。

根据查封令，FBI通过控制目标地址的私钥，进而控制了该地址中存放的赎金。

0x3. 深入DarkSide

上一小节中我们借助开源情报定位到一个由25个比特币地址组成的DarkSide钱包，这个钱包从2021年3月4日开始活跃，截止到2021年5月13日 (也就是DarkSide声称payment server被控制的日期)，共通过57笔交易接收约341BTC，折合美元约1930万。

上一小节中定位的DarkSide钱包的余额变动情况

但除了明确知道5月8日与5月11日接收的两笔资金分别为Colonial Pipeline和Brenntag支付的赎金，我们无法确定该钱包其他流入资金的性质（是否是赎金）；同时也无法得知在这1930万之外，DarkSide是否还有其他收入 (譬如存在未知的DarkSide活跃地址)。也就是说，我们虽然抓住了DarkSide的尾巴，但尚未摸透它的脾性，遑论看清它的全貌。

为了对DarkSide形成更为准确、全面的认知，我们进行了一次探索性实验。实验主要包含以下内容：

参考Colonial Pipeline和Brenntag这两起事件中的赎金流动过程，为DarkSide的赎金操纵行为建立简易模型。我们将借助这个模型来理解赎金流动过程中，各地址和交易扮演的角色和承担的任务。

基于上述模型对已知的25个DarkSide地址进行分析，尝试识别未知的勒索事件。我们在实例分析中得到了一些有意思的结论，这些结论反过来补充和优化了模型，并为下一步的挖掘工作提供了思路。

基于前面的所有发现和经验，以已知的25个DarkSide地址作为种子，挖掘更多的DarkSide地址和勒索事件。最终我们一共找到了120个DarkSide地址和51起勒索事件。考虑到采用的挖掘算法是保守的，这些可能还不是DarkSide的全部阴暗面。

为了让大家能切身感受探索的乐趣，我们会按照时间顺序来分享实验过程，例如先建立一个简易的赎金流动模型，随后根据实验结果来补充优化。由于篇幅限制，我们会在系列文章的中篇分享实验步骤1和2的内容，在下篇给出实验的最后步骤和最终结果，并对全文进行总结。

参考文献

5·7美输油管道黑客攻击事件

Colonial Pipeline cyber attack

Colonial Pipeline paid 75 Bitcoin, or roughly $5 million, to hackers.

Seizure Warrant

Here's the hacking group responsible for the Colonial Pipeline shutdown

The moral underground? Ransomware operators retreat after Colonial Pipeline hack

DarkSide ransomere servers reportedly seized, operation shuts down

DOJ seizes millions in ransom paid by Colonial Pipeline

Chemical distributor pays $4.4 million to DarkSide ransomware

DarkSide: New targeted ransomware demands million dollar ransoms

Shining a Light on DarkSide Ransomware Operations

Threat analysis: DarkSide Ransomware

DarkSide Getting Taken to ‘Hackers’ Court’ For Not Paying Affiliates

What is Ransomware as a Service (RaaS)? The dangerous threat to world security

查看更多

—-

编译者/作者：BlockSec

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。