Sodinokibi Ransomware: siguiendo el rastro de dinero de afiliados

Después de que un afiliado de ransomware Sodinokibi publicara ID de transacciones parciales para pagos de ransomware, los investigadores pudieron usar esa información para seguir el rastro de dinero para los afiliados y, en algunos casos, cómo gastan sus ganancias ilícitas.

A principios de este mes, McAfee echó un vistazo a la operación GandCrab Ransomware-as-an-Affiliate y cómo Sodinokibi Ransomware reclutó a los mejores empleados para construir un equipo de afiliados estelar  después de que GandCrab fue cerrado .

Como parte de este informe, se mostró cómo un afiliado llamado Lalartu respondía por el Sodinokibi Ransomware RaaS en un foro subterráneo de malware y piratas informáticos.



En un nuevo informe, los investigadores de McAfee continúan su análisis del Sodinokibi Ransomware siguiendo el rastro de dinero del afiliado basado en las ID de transacciones publicadas por el afiliado anterior.

Siguiendo el rastro del dinero
Mientras investigaba el afiliado de Sodinokibi Ransomware, McAfee encontró otra publicación en el foro del afiliado llamado Lalartu que previamente había garantizado el RaaS.

En esta publicación del foro, el afiliado publicó una captura de pantalla de la identificación de transacciones parciales por aproximadamente $ 287,499.00 en pagos de rescate en 72 horas.


Transacciones publicadas por Afiliado (Fuente: McAfee)

Al observar las muestras existentes del ransomware, McAfee pudo determinar que el pago promedio del rescate estaba entre .44 y .45 bitcoins, lo que equivale a alrededor de $ 4,000 USD. Este precio promedio también se correlaciona con los pagos de rescate que se muestran en la captura de pantalla anterior.

Con la ayuda de la empresa de análisis de datos de blockchain Chainalysis , McAfee pudo recuperar los ID de transacción completos de la publicación del afiliado y usarlos para mapear las transacciones de bitcoin relacionadas con estos pagos de rescate y afiliados.


Mapeo de pagos de rescate (Fuente: McAfee)
Haga clic en la imagen para ver en tamaño completo

Esta información se convirtió en el punto de partida para la investigación de McAfee sobre las transacciones de bitcoin de Sodinokibi RaaS y sus afiliados.

"Los pagos de Lalartu sirvieron como un comienzo y lo tomamos desde allí", dijo John Fokker de McAfee, Jefe de Investigaciones Cibernéticas, a BleepingComputer en una conversación. "Al observar a los afiliados y basándonos en las porciones de pago, etc., nos dirigimos hacia arriba para ver más de cerca las porciones de Desarrollador".

A partir de la información recopilada, McAfee pudo ver otros pagos de ransomware y la división de ingresos 60/40 o 70/30 entre el afiliado y los operadores RaaS.

"Vemos a las víctimas pagando a sus billeteras asignadas; a partir de ahí, toma un promedio de dos o tres transacciones antes de ir a una billetera 'afiliada' o 'distribuidora'. De esa billetera vemos que la división ocurre como el apodo 'UNKN' mencionado en su publicación en el foro comenzamos este artículo. El 60 o 70 por ciento se queda con el afiliado y el 40/30 por ciento restante se envía en múltiples transacciones hacia los actores detrás de Sodinokibi ".

Al profundizar en las transacciones de bitcoin para otros afiliados de Sodinokibi, McAfee pudo obtener una mejor idea de cómo los distribuidores de ransomware están utilizando sus ganancias obtenidas ilegalmente.

Por ejemplo, el afiliado a continuación transfirió una pequeña cantidad de un servicio desconocido y una cantidad mayor al mezclador de Bitmix para intentar dificultar aún más el seguimiento de esas monedas.


Seguimiento de las transacciones de un afiliado (Fuente: McAfee)

McAfee vio a otros afiliados que usaban bitcoins para comprar servicios en mercados subterráneos. Estos mercados aceptan bitcoins para artículos ilegales como drogas, armas y servicios de piratería.

Aún más preocupante, uno de los afiliados más grandes que McAfee pudo rastrear tenía una billetera que contenía 443 BTC o aproximadamente $ 4.5 millones de dólares, lo que demuestra que son un gran jugador.

"Siguiendo las huellas de un afiliado en particular, terminamos viendo grandes cantidades de bitcoins transferidos a una billetera que tenía un valor total de 443 BTC, alrededor de 4,5 millones de dólares con el precio promedio de bitcoin".

Las transacciones de Bitcoin claramente se están volviendo menos anónimas

Si bien Bitcoin se creó para ser un método descentralizado para enviar pagos y proporcionar a los compradores y vendedores un mayor grado de privacidad, con nuevos servicios como Chainalysis y otros, la privacidad se está desvaneciendo lentamente.

Utilizando una gran base de datos de direcciones de bitcoin ya identificadas, estos servicios permiten a las fuerzas del orden público rastrear más fácilmente cómo se utilizan los bitcoins.

De acuerdo con un Reddit AMA ahora eliminado de un supuesto empleado de Chainalysis, estos servicios también se pueden usar para rastrear la dirección IP de un remitente y destinatario en algunos casos.

El uso de direcciones IP hace que sea aún más fácil para la policía rastrear las máquinas utilizadas en una transacción de bitcoin y, potencialmente, los usuarios asociados.


Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta