Episodio 3: Sigue el dinero
Esta es la tercera entrega del análisis de McAfee Advanced Threat Research (ATR) de Sodinokibi y sus conexiones con GandCrab, la campaña Ransomware-as-a-Service (RaaS) más prolífica de 2018 y mediados de 2019.
Los Talking Heads una vez cantaron "Estamos en un camino a ninguna parte". Esto expresa lo difícil que puede ser cuando uno investiga los rastros financieros detrás de un esquema RaaS con muchos afiliados, etc.
Sin embargo, persistimos y prevalecimos. Al vincular las publicaciones subterráneas del foro con los rastros de transferencia de bitcoin, pudimos descubrir nueva información sobre el tamaño de la campaña y los ingresos asociados; incluso obtener información detallada sobre lo que hacen los afiliados con sus ganancias después de un ataque exitoso.
Con el ransomware Sodinokibi se genera una billetera BTC única para cada víctima. Mientras no se realice ningún pago, no habrá rastro de la billetera BTC en la cadena de bloques. La cadena de bloques funciona como un libro público de todas las transacciones de bitcoin que han sucedido. Cuando no se intercambian monedas, no se registran transacciones. Aunque muchas víctimas llegan a las noticias, entendemos que si pagan, compartir eso con la comunidad de investigación es quizás un puente demasiado lejos. En uno de los foros subterráneos descubrimos la siguiente publicación:
En esta publicación, los actores están expandiendo su actividad exitosa y ofreciendo un recorte del 60 por ciento como un comienzo y, después de tres pagos exitosos por parte del afiliado (lea las infecciones exitosas de ransomware y los pagos recibidos de las víctimas), el corte aumenta al 70 por ciento de los pagos recibido. Esto es muy común como vimos en el pasado con esquemas RaaS como GandCrab y Cryptowall.
Respondiendo a esta publicación es un actor con el apodo de "Lalartu" y sus comentarios son bastante interesantes, insinuando que estuvo involucrado con GandCrab. Como nota del sitio: "Lalartu" significa "fantasma / fantasma". Sus orígenes son de la civilización sumeria donde Lalartu fue visto como un demonio vampírico.
Investigando el apodo de "Lalartu" a través de nuestros datos, retrocedimos en el tiempo aproximadamente un mes y descubrimos una publicación del actor el 4 de junioth de 2019, nuevamente haciendo referencia a GandCrab.
Observamos aquí un par de ID de transacciones (TXID) en el libro mayor de bitcoin, sin embargo, están incompletas. Más de una semana después, el 17 de junio.th, 2019, "Lalartu" publicó otro con un archivo adjunto:
En esta publicación vemos una captura de pantalla con TXID parciales y las cantidades. Con la ayuda del software y el equipo de Chainalysis, pudimos recuperar los TXID completos. Con esa lista pudimos investigar las transacciones y comenzar a mapearlas con su software:
De las diversas muestras que hemos investigado, los montos solicitados para el pago están entre 0.44 y 0.45 BTC, un promedio de 4,000 USD.
En la captura de pantalla anterior, vemos las transacciones en las que algunas de estas cantidades se transfieren desde una billetera, o los bitcoins se compran en un intercambio y se transfieren a las billeteras asociadas con los afiliados.
Según la lista compartida por Lalartu en su publicación, y el valor promedio de bitcoin alrededor de las fechas, en 72 horas se había transferido un valor de rescate de 287,499.00 USD.
Tomando la lista de transacciones como punto de partida en nuestro análisis gráfico, coloreamos las líneas de rojo y comenzamos desde allí para investigar las billeteras involucradas y las transacciones interesantes:
Aunque puede parecer un espagueti, una vez que te sumerges, se pueden descubrir patrones muy interesantes. Vemos víctimas que pagan a sus billeteras asignadas; a partir de ahí, toma un promedio de dos o tres transacciones antes de ir a una billetera "afiliada" o "distribución". Desde esa billetera vemos que la división se produce cuando el apodo "UNKN" mencionado en su publicación en el foro con el que comenzamos este artículo. El 60 o 70 por ciento se queda con el afiliado y el 40/30 por ciento restante se envía en múltiples transacciones a los actores detrás de Sodinokibi.
Una vez que identificamos un par de estas transacciones, comenzamos a cavar en ambas direcciones. ¿Qué está haciendo el afiliado con el dinero y hacia dónde va el dinero para los actores de Sodinokibi?
Elegimos una cartera de afiliados prometedora y comenzamos a cavar más profundo y seguimos las transacciones. Como se describió anteriormente, el afiliado está recibiendo dinero transferido principalmente a través de un intercambio (ya que esto es aconsejado por los actores en la nota de rescate). Esto es lo que vemos en el siguiente ejemplo. Se reciben pagos entrantes de ransomware a través de Coinbase.com. El afiliado parece pagar una tarifa por un servicio, pero también envía BTC a Bitmix.biz, un popular mezclador de bitcoins subterráneo que ofusca las próximas transacciones para dificultar el enlace de las transacciones a la billetera 'final' o al retiro de efectivo en un (cripto) moneda.
También observamos ejemplos en los que los afiliados pagaban por los servicios que compraban en Hydra Market. Hydra Market es un mercado subterráneo ruso donde se ofrecen muchos servicios y productos ilegales con pago en BTC.
Al rastrear la ruta de las divisiones, comenzamos a buscar los recortes de 30 o 40 por ciento de los pagos de rescate de 0.27359811 BTC o, si el precio se duplicaba, 0.54719622 BTC.
Utilizando la lista de importes y consultando las transacciones y transferencias descubiertas, observamos una billetera que recibía muchos de estos pagos más pequeños. Debido a la investigación en curso, no publicaremos la billetera, pero aquí hay una representación gráfica de un subconjunto de transacciones:
Parece una araña, pero se observaron muchas transferencias entrantes 'divididas', y solo unas pocas salientes con mayores cantidades de bitcoins.
Si tomamos el promedio de $ 2,500 – $ 5,000 USD como solicitud de rescate, y la división mencionada del 30/40 por ciento para el actor que mantiene el ransomware Sodinokibi y la infraestructura de afiliados, ganan $ 700 – $ 1,500 USD por infección pagada.
Ya vimos al comienzo de este artículo que el afiliado Lalartu afirmó haber ganado 287k USD en 72 horas, lo que es una ganancia de 86k USD para el actor de un solo afiliado.
En el episodio 2 Las estrellas, explicamos cómo se configura la estructura y cómo cada afiliado tiene su propia identificación.
En cuanto rastreamos las muestras y extrajimos la cantidad de números de identificación, contamos que más de 41 afiliados estaban activos. Los datos mostraron que en un tiempo relativamente corto la velocidad y el número de infecciones fueron altas. Tomando esta velocidad combinada con unos pocos pagos por día, podemos imaginar que los actores detrás de Sodinokibi están haciendo una fortuna.
Siguiendo las huellas de un afiliado en particular, terminamos viendo grandes cantidades de bitcoins transferidos a una billetera que tenía un valor total de 443 BTC, alrededor de 4,5 millones de dólares con el precio promedio de bitcoin.
Entendemos que hay situaciones en las que los ejecutivos deciden pagar el rescate pero, al hacerlo, mantenemos vivo este modelo de negocio y también financiamos otros mercados criminales.
Conclusión
En este blog, nos centramos en las ideas sobre las corrientes financieras detrás del ransomware. Al vincular las publicaciones subterráneas del foro con los rastros de transferencia de bitcoin, pudimos descubrir nueva información sobre el tamaño de la campaña y los ingresos asociados. En algunos casos, incluso pudimos obtener información detallada sobre lo que hacen los afiliados con sus ganancias después de un ataque "exitoso". Muestra que pagar ransomware no solo mantiene vivo el "modelo de rescate" sino que también apoya otras formas de delincuencia.
En el próximo y último episodio, "Crescendo" McAfee ATR revela ideas obtenidas de una red global de ollas de miel.
