美国和保加利亚和的执法机构在2020年1月末破坏了2020年最活跃的勒索软件团伙之一NetWalker的基础设施。

保加利亚官员没收了用于托管NetWalker团伙的暗网网站的服务器，而美国官员则起诉了一名加拿大公民（会员），据称他从感染NetWalker勒索软件的公司中获得了至少2760万美元赎金。

扣押的服务器用于托管赎金交易和发布数据的网页，受害者会被重定向到该暗网页面从而与攻击者进行通信并协商赎金。

同一台服务器还托管博客部分，其中NetWalker泄露他们从入侵的公司窃取的数据，如果这些公司拒绝支付赎金，则该团伙会公开数据撕票。

但这一切已经不再存在，取而代之的是一张被服务器扣留的图片

该勒索软件全球感染分布图

NetWalker已影响了来自27个不同国家的至少305名受害者。 

在这起追捕活动中，有一个名为Chainalysis的区块链分析公司提供了帮助，该公司为交易所提供交易监控工具，从而追踪NetWalker勒索软件的数字货币交易资金流向。这家公司的思路值得学习。

该公司表示，有四个角色可以从NetWalker勒索攻击中获取收益：

NetWalker管理员或软件开发人员（8-10％），

会员（76-80％）

两个打工仔（每个打工仔2.5％-5％，打工仔类似谈赎金的管理网站人员）。

像被起诉的加拿大人Vachon-Desjardins，也就是勒索软件的会员通常负责获得对受害网络的访问权并部署恶意软件。一般受害者会付款到NetWalker管理员的钱包地址。

Chainalysis Reactor工具会将这些人员架构的资金流向给总结出来。

很明显，黑鸟认为能统计出这些数据只要监控NetWalker的主要钱包的资金流向即可，按上面提到的比例进行监控。因此按照这个原理，找到转移的大头，也就是会员，然后慢慢的查，估计就查到了那个加拿大人的头上。

此外，这些主资金只流向不到20个会员。而这些会员很少部署NetWalker，有的还和别的勒索软件存在资金往来，如下图所示，这些会员和其他勒索软件的交易情况。资金盘的分析基本操作了。

此外，该公司的分析工具显示，至少有345个与加拿大人Vachon-Desjardins相关的地址可以追溯到2018年2月，交易一直持续到2021年1月27日。监测发现，其收到了价值超过1400万美元的比特币，鉴于其价值的上涨，推测最终拥有至少2760万美元。

根据美国政府的说法，自2020年4月以来，Vachon-Desjardins至少参与了91次使用NetWalker勒索软件的攻击，作为该软件的会员获得了80％的赎金。

除了NetWalker，根据分析工具结果显示，Vachon-Desjardins也参与了其他RaaS（勒索软件即服务）的部署，例如Sodinokibi，Suncrypt和Ragnarlocker。

以上就是关联各类勒索软件然后进行综合性区块链地址交易记录分析法。

目前，NetWalker以及Ryuk，Maze，Doppelpaymer和Sodinokibi是今年收入最高的勒索软件（全球总赎金额已接近3亿美元），虽说NetWalker的暗网设施被破坏，但黑鸟认为他们应该还会换个壳重来。 

参考链接：

https://www.justice.gov/opa/pr/department-justice-launches-global-action-against-netwalker-ransomware

上期:通过社交媒体针对安全研究人员的社会工程学攻击活动