Chainalysis報告：為何被盜資金和勒索軟體不斷增加

來源：Chainalysis；編譯：陶朱，比特鏈視界

摘要

• 今年迄今為止， 鏈上非法活動總量下降了近 20%，表明合法活動的增長速度快於非法活動。

• 儘管與去年同期相比，非法交易有所減少，但兩類非法活動—— 被盜資金和勒索軟體——卻在增加。 具體來說，被盜資金流入量幾乎翻了一番，從 8.57 億美元增至 15.8 億美元，而勒索軟體流入量增長了約 2%，從 4.491 億美元增至 4.598 億美元。

被盜資金

每次搶劫案中被盜的加密貨幣平均數量增加了近 80%。

部分原因是比特幣 (BTC) 價格上漲 ，比特幣佔這些搶劫案總交易量的 40%。加密貨幣竊賊似乎也回歸本源，更頻繁地瞄準中心化交易所，而不是優先考慮 DeFi 協議，後者是交易 BTC 的不太受歡迎的工具。

包括與朝鮮有關的 IT 工作者在內的高級網絡犯罪分子越來越多地利用社會工程等鏈下方法，通過滲透加密相關服務來竊取資金。

勒索軟體

• 2024 年將成為勒索軟體支付收入最高的一年，這在很大程度上是由於這些勒索軟體發起的高調攻擊較少，但收取的贖金卻很大（業內稱為「大獵物狩獵」）。 2024 年出現了有史以來最大的勒索軟體支付，約 7500 萬美元支付給 Dark Angels 勒索軟體組織。

• 支付給勒索軟體的平均贖金已從 2023 年初的不到 20 萬美元飆升至 2024 年 6 月中旬的 150 萬美元，這表明這些 勒索軟體優先針對的是大型企業和關鍵基礎設施提供商，這些提供商可能更有可能支付高額贖金，因為它們資金雄厚且具有系統重要性。

• 由於最近執法部門對 ALPHV/BlackCat 和 LockBit 等最大參與者的幹擾，勒索軟體生態系統經歷了一些分裂。在這些中斷之後，一些分支機構已轉向效果較差的病毒或推出自己的病毒。

2024 年，加密貨幣生態系統取得了許多積極的發展。在美國批准了現貨比特幣和以太坊交易所交易基金 (ETF) 以及美國財務會計準則委員會 (FASB) 修訂了公平會計規則之後，加密貨幣在許多方面繼續獲得主流認可。但與任何新技術一樣，無論是好人還是壞人，採用加密貨幣的人數都會增加。雖然今年迄今為止 (YTD) 的非法活動與前幾年相比有所下降，但特定網絡犯罪相關實體的加密貨幣流入顯示出一些令人擔憂的趨勢。

如下圖所示，今年到目前為止， 合法服務的流入量是自 2021 年（上一次牛市高峰）以來的最高水平。 這一令人鼓舞的跡象表明， 加密貨幣在全球範圍內將繼續被採用。 流入高風險服務的資金（主要由不收集 KYC 信息的混合器和交易所組成）的趨勢比去年同期更高。與此同時，今年迄今非法活動總額下降了 19.6%，從 209 億美元降至 167 億美元，表明鏈上合法活動的增長速度快於非法活動。與往常一樣，我們必須提醒大家，這些非法數字是基於我們今天發現的非法地址流入量得出的下限估計值。隨著時間的推移，隨著我們歸類更多非法地址並將其歷史活動納入我們的數據，這些總數幾乎肯定會更高。

今年另一個重要更新是，我們已開始根據 Chainalysis Signals 數據將可疑的非法活動納入某些犯罪類型的總體估計中。此前，我們的估計僅包括與 Chainalysis 有支持文件證明其屬於某個非法實體的地址相關的總數。Signals 利用鏈上數據和啟發式方法來識別特定未知地址或地址集群的可疑類別，置信度範圍從可能到幾乎確定。Signals 的引入不僅隨著時間的推移增加了我們對某些類別非法活動的估計，而且使我們能夠改進前幾年的估計，因為有更多的時間來收集輸入並了解可疑活動的鏈上模式。隨著不良行為者繼續發展他們的策略，我們的檢測和破壞方法也將隨之發展。

儘管與去年同期相比，非法交易總體有所下降，但兩種值得注意的非法活動——被盜資金和勒索軟體——一直在增加。 加密貨幣盜竊案中被盜資金同比增長，截至 7 月底，幾乎從 8.57 億美元翻了一番，達到 15.8 億美元。在去年的年中更新中，截至 2023 年 6 月，勒索軟體流入總額為 4.491 億美元。今年，同期勒索軟體流入量已超過 4.598 億美元，這表明我們可能會看到勒索軟體的又一個創紀錄年份。

攻擊者重回，瞄準中心化交易所，被盜資金激增

與 2022 年相比，2023 年被盜加密貨幣價值下降了 50%，而今年黑客活動又重新興起。比較被盜金額和黑客事件的同比數量，這很能說明問題。如下圖所示， 截至 7 月底，今年被盜累計價值已達到 15.8 億美元，比去年同期被盜價值高出約 84.4%。 有趣的是，2024 年黑客事件的數量僅略高於 2023 年，同比僅增長 2.76%。根據被盜時的資產價值，每起事件的平均被盜價值增加了 79.46%，從 2023 年 1 月至 7 月的每起事件 590 萬美元增加到 2024 年迄今為止的每起事件 1060 萬美元。

被盜價值的變化很大程度上歸因於資產價格上漲。 例如，比特幣的價格從 2023 年前七個月的平均價格 26,141 美元上漲到今年截至 7 月的平均價格 60,091 美元，漲幅達 130%。

比特幣的價格在這裡尤為重要。Chainalysis 跟蹤的一項黑客指標是黑客攻擊發生後與被盜資金流動相關的交易量。這可以作為被盜資產的替代指標，因為很多時候被黑客入侵的服務不會公開報告被盜資產的明細。去年，這筆交易量的 30% 與比特幣有關。今年，與被盜資金活動相關的 BTC 交易量佔這些流量的 40%。這種模式似乎是由被入侵實體類型的變化所驅動的，2024 年中心化服務被黑客入侵以獲取高額資金。DMM 等中心化交易所尤其如此，其損失了 3.05 億美元。據報導，在 DMM 黑客攻擊中，約有 4500 個 BTC 被盜，約佔 2024 年被黑客攻擊價值的 19%。

加密貨幣竊賊似乎又回到了他們從前的操作，在四年前專注於去中心化交易所（通常不交易比特幣）之後，再次瞄準了中心化交易所。

雖然針對 DeFi 服務（尤其是跨鏈橋）的攻擊在 2022 年達到頂峰，但我們推測，在中心化交易所增加了安全投資後，攻擊者已將注意力轉向了更新、更易受攻擊的組織。現在， 包括與朝鮮有關的攻擊者在內的攻擊者正在利用越來越複雜的社會工程策略（包括申請 IT 工作）來竊取加密貨幣，方法是滲透到中心化交易所中他們歷史上最主要的攻擊目標之一。聯合國最近報告稱，西方科技行業公司已僱用了 4,000 多名朝鮮人。

2024 年有望成為迄今為止勒索軟體收入最高的一年

2023 年，勒索軟體創下了超過 10 億美元的贖金記錄。這些巨額贖金來自引人注目的破壞性攻擊，例如對 MoveIT 零日漏洞的 Cl0p 攻擊和 ALPHV/BlackCat 勒索軟體組織對凱撒酒店物業的攻擊，導致該公司支付了 1500 萬美元的贖金。[1] 儘管執法部門針對勒索軟體部署者惡意軟體和組織基礎設施採取了重大行動，但這些支付仍然發生了。去年此時，我們報告稱，截至 2023 年 6 月底，累計勒索軟體支付約為 4.491 億美元。今年同期，我們記錄的贖金總額為 4.598 億美元，2024 年有望成為有記錄以來最糟糕的一年。

Kiva Consulting 總法律顧問 Andrew Davis 表示，儘管 LockBit 和 ALPHV/BlackCat 造成了破壞，但勒索軟體活動仍然保持相對穩定。 「無論是這些知名威脅行為者行動的前分支機構，還是新崛起的勒索軟體組織，大量新的勒索軟體組織都加入了競爭，展示了實施攻擊的新方法和技術，例如擴大其初始訪問手段和橫向移動方法。」

如下圖所示，勒索軟體攻擊也明顯變得更加嚴重。一個顯著的變化是，我們在一年內觀察到的最高贖金支付額激增。到目前為止，2024 年出現了有史以來最大的單筆支付，約為 7500 萬美元，支付對象是一個名為 Dark Angels 的勒索軟體組織。最高支付額的這一躍升也代表了 2023 年最高支付額同比增長 96%，比 2022 年的最高支付額增長 335%。

如果最高支付金額的快速增長還不夠糟糕的話，更令人沮喪的是，每年異常值的這種趨勢實際上反映了中位數支付的增長趨勢。這種趨勢在最具破壞性的勒索軟體事件中尤其常見。為了達到這一點，我們根據鏈上活動水平將所有病毒株分為以下幾類：

• 極高嚴重程度的病毒：在給定年份收到的最高付款超過 100 萬美元

• 高嚴重程度的病毒：在給定年份收到的最高付款在 10 萬至 100 萬美元之間

• 中等嚴重程度的病毒：在給定年份收到的最高付款在 1 萬至 10 萬美元之間

• 低至中等嚴重程度的病毒：在給定年份收到的最高付款在 1 千至 1 萬美元之間

• 低嚴重程度的病毒：在給定年份收到的最高付款少於 1 千美元

利用這一分類系統，我們可以跟蹤不同嚴重程度的中位支付金額隨時間推移的異常增長。這種上升趨勢在「極高嚴重程度」的病毒株中尤為明顯，其 中位支付金額已從 2023 年第一周的 198,939 美元增加到 2024 年 6 月中旬的 150 萬美元。 這意味著在此期間，最嚴重病毒株類型支付的 贖金通常增加了 7.9 倍 ， 自 2021 年初以來增加了近 1200 倍。 這種模式可能表明， 這些病毒株開始針對較大的企業和關鍵基礎設施提供商，由於這些目標財力雄厚且具有系統重要性，它們可能更有可能支付巨額贖金。

然而，如下圖所示，嚴重程度最高的勒索病毒株的表現仍低於 2023 年迄今總量 50.8%。這可能歸因於最大的參與者 ALPHV/BlackCat 和 LockBit 的執法幹擾，這導致勒索軟體運營一度停止。在這些幹擾之後，生態系統變得更加分散，關聯方遷移到效率較低的勒索病毒株或推出自己的勒索病毒株。因此，嚴重程度較高的勒索病毒株的年初至今活動增加了 104.8%

勒索軟體的另一個趨勢是，攻擊也變得越來越頻繁 ，根據 eCrime.ch 的數據洩露網站統計數據， 今年迄今為止的攻擊次數至少增加了 10%。 值得注意的是，儘管今年的贖金總額有望創下歷史新高，贖金金額也創下了歷史新高，攻擊形勢也日益惡化，但仍有一線好消息。在所有這些不利因素中，受害者支付贖金的頻率仍然較低。勒索軟體洩露網站的帖子數量作為勒索軟體事件的衡量標準同比增長了 10%，如果有更多受害者受到威脅，我們預計會出現這種情況。然而，按鏈上衡量的勒索軟體支付事件總數同比下降了 27.29%。將這兩個趨勢結合起來看，表明 雖然今年迄今為止的攻擊次數可能有所增加，但支付率卻同比下降。這對生態系統來說是一個積極的信號，表明受害者可能準備得更充分，不需要支付贖金。

戴維斯表示：「在基伍組織協助受害組織處理的問題中，約有 65% 已經得到解決，無需支付贖金。受影響組織繼續保持積極的恢復趨勢，無需向攻擊者支付贖金。」

雖然加密生態系統中的非法活動繼續呈下降趨勢，但 兩種加密犯罪似乎逆勢而上：資金被盜和勒索軟體。 值得注意的是，這兩種犯罪類型往往是由具有某些共同特徵的行為者實施的。他們通常是利用複雜網絡基礎設施的有組織團體。在資金被盜案件中， 與朝鮮有關的黑客組織是一些最大搶劫案的幕後黑手 。眾所周知，這些行為者採用精心策劃的社會工程策略闖入加密企業，竊取加密資產，並利用專業的洗錢技術，試圖在資金被扣押之前套現。

打擊網絡犯罪的關鍵是破壞其供應鏈，包括攻擊者、關聯公司、合作夥伴、基礎設施服務提供商、洗錢者和套現點。由於加密搶劫和勒索軟體的運作幾乎完全在區塊鏈上進行，因此擁有正確解決方案的執法部門可以追蹤資金，以更好地了解和破壞這些行為者的運作。 eCrime.ch 研究員 Corsin Camichel 表示：「我認為『克羅諾斯行動』、『獵鴨行動』和『終局行動』等打擊和執法行動對於遏制這些活動以及表明犯罪行為必將產生後果至關重要。」