Mer än 5 miljarder dollar i bitcoin -transaktioner har kopplats till de tio bästa ransomware -varianterna, enligt en rapport som släpptes av amerikanska finansdepartementet på fredagen.
Avdelningens nätverk för finansiell brottsbekämpning (FinCen) och Office of Foreign Assets Control (OFAC) släppte två rapporter som visar hur lukrativt cyberbrott relaterat till ransomware har blivit för gängen bakom dem. Delar av rapporten är baserade på misstänkta verksamhetsrapporter (SAR) finansiella företag som lämnats till den amerikanska regeringen.
FinCen sa att det totala värdet av misstänkt aktivitet som rapporterades i ransomware-relaterade SAR under de första sex månaderna 2021 var 590 miljoner dollar, vilket överstiger de 416 miljoner dollar som rapporterades för hela 2020.
“FinCEN-analys av ransomware-relaterade SAR-filer som lagts in under första halvåret 2021 indikerar att ransomware är ett ökande hot mot den amerikanska finanssektorn, företag och allmänheten. Antalet ransomware-relaterade SAR-filer som lämnas in varje månad har vuxit snabbt, med 635 SAR-filer som har lämnats in och 458 transaktioner rapporterade mellan den 1 januari 2021 och den 30 juni 2021, en ökning med 30 procent från de totalt 487 SAR som lämnats in för hela kalenderåret 2020 “, står det i rapporten.
Genom att analysera 177 unika konvertibla virtuella valutaportadresser som används för ransomware-relaterade betalningar associerade med de tio vanligast rapporterade ransomware-varianterna i SAR under översiktsperioden, fann finansdepartementet cirka 5,2 miljarder dollar i utgående bitcoin-transaktioner eventuellt kopplad till ransomware -betalningar.
“Enligt data från ransomware-relaterade SAR var den genomsnittliga genomsnittliga månatliga misstänkta mängden ransomware-transaktioner $ 66,4 miljoner och medianvärdet var $ 45 miljoner. FinCEN identifierade bitcoin som den vanligaste ransomware-relaterade betalningsmetoden vid rapporterade transaktioner”, tillägger rapporten.
FinCen noterade att siffrorna i amerikanska dollar är baserade på bitcoin -värdet vid transaktionstillfället och tillade att datamängden “bestod av 2 184 SAR som återspeglar 1,56 miljarder dollar i misstänkt aktivitet som lagts in mellan 1 Januari 2011 och 30 juni 2021. “
FinCen
Medan rapporten inte säger vilka ransomware -varianter som gjordes mer än andra, listar den de vanligaste rapporterade varianterna, som var REvil/Sodinokibi, Conti, DarkSide, Avaddon och Phobos. FinCen sa att det hittade totalt 68 olika ransomware -varianter.
Ransomware -expert och Recorded Future -datorens nödsituationsteammedlem Allan Liska sa till ZDNet att Phobos är bland de fem bästa är överraskande.
“Phobos tenderar att falla under radarn och får inte mycket uppmärksamhet, klart mer fokus måste läggas på det så att organisationer bättre kan försvara sig mot det,” sa Liska.
Han tillade att det var intressant att se att FinCen har spårat ransomware -transaktioner sedan 2011, vilket innebär att de har mycket mer erfarenhet av att spåra kryptovalutatransaktioner än vad ransomware -grupper inser.
“Jag tror att vi alla misstänkte att ransomware -attacker ökade i år, det är trevligt att se detta bekräftat”, sa han. “Slutligen, under de första sex månaderna av året identifierade FinCEN 68 ransomware -varianter som publicerades i SAR. Återigen tror jag inte att de flesta inser hur olika ransomware -ekosystemet är.”
Rapporterna kommer en dag efter att amerikanska tjänstemän och regeringar från mer än 30 länder avslutade ett två dagars toppmöte med fokus på ransomware och hur det kan stoppas. Länderna lovade ytterligare samarbete och nämnde specifikt behovet av att hålla kryptovalutaplattformar ansvariga.
Samtidigt med publiceringen av rapporten släppte FinCen ytterligare vägledning som effektivt hotar den virtuella valutaindustrin med påföljder om de tillåter sanktionerade personer eller enheter att fortsätta använda sina plattformar.
“OFAC -sanktionskrav gäller för virtuella valutaindustrin på samma sätt som de gör mot traditionella finansinstitut, och det finns civila och straffrättsliga påföljder för underlåtenhet att följa, säger FinCen på fredagen.
FinCen -rapporten noterade också att ransomware -grupper i allt högre grad använder kryptovalutor som Monero som är populära bland dem som söker anonymitet och har undvikit att använda plånböcker mer än en gång.
Blandningstjänster används också i stor utsträckning inom ransomwareindustrin som ett sätt för att störa spårningsexperter och decentraliserade utbyten används för att konvertera ransomware -betalningar till andra kryptovalutor.
Rapporten nämner också “chain hopping”, en praxis som ransomware -aktörer använder för att byta ett mynt till ett annat minst en gång innan de flyttar pengarna till en annan tjänst eller plattform.
“Denna praxis tillåter hotaktörer att konvertera olagliga BTC -intäkter till en AEC som XMR vid CVC -börser eller tjänster. Hotaktörer kan sedan överföra de konverterade medlen till stora CVC -tjänster och MSB med slappa efterlevnadsprogram,” FinCen sa.
Ransomware: En verkställande guide till en av de största hoten på webben
Allt du behöver veta om ransomware: hur det började, varför det blomstrar, hur du skyddar mot det och vad du ska göra om din dator är infekterad.
Läs mer
Relaterade ämnen:
Government Security TV Data Management CXO Data Center 