木星链 木星链
Ctrl+D收藏木星链

加密货币:FBI 如何截获黑客私钥并追回勒索损失?剪贴板劫持值得我们的注意

作者:

时间:1900/1/1 0:00:00

安全网站ThreatPost

整理撰稿|白泽研究院

一叶知秋、秋风飒爽,我们度过了一个“有点冷”的加密Summer,在这几个月中,几乎每周都有新的黑客勒索软件的攻击。无论是ColonialPipeline、JBS、马萨诸塞州轮船、Fujifilms还是新闻报道中的其他组织,网络犯罪似乎比以往任何时候都更受关注。

最近的一份的报告显示,网络犯罪使全球损失超过1万亿美元,预计到2025年全球经济将损失10.5万亿美元。

今年关于黑客勒索事件,最出名的还是美国最大的管道运营商?ColonialPipeline向破坏服务器和网站的黑客、其他在暗网上出售数据的网络犯罪团伙支付440万美元,因为黑客的攻击行为导致美国东海岸的燃料价格飙升。

所有这些事件和攻击有一个很强的共性:黑客想要加密货币。

黑客如何获利?

黑客在受害者那里获利的方式有很多种。其中有几种方法很突出:

1.勒索软件

将受害者的计算机系统加密,包括他们的个人数据和文件,会给受害者带来紧迫感和混乱,以此来索取赎金。黑客勒索时,通常都会要求受害者在短时间内付款,并威胁会公开数据。

勒索软件速度快且利润丰厚,其潜在获利从数千美元到数百万美元不等。如果受害者受到勒索软件的攻击,他们的计算机屏幕上会清楚地显示这一点,并且他们知道自己已经受到攻击。这消除了黑客的“隐身”的隐患。

FBI从REvil和Gandcrab勒索软件附属公司查获230万美元的比特币:12月1日消息,法庭文件显示,美国联邦调查局(FBI)8月份从一家知名的REvil和GandCrab勒索软件附属公司缴获了230万美元。在今天公布的一份起诉书中,FBI于2021年8月3日从一个Exodus钱包中扣押了39.89138522枚比特币,按当前价格计算价值约230万美元(扣押时价值150万美元)。FBI没有说明他们是如何访问钱包的,只是说钱包在其保管之下,这表明他们可能获得了钱包的私钥或密码。(Bleeping Computer)[2021/12/1 12:43:17]

2.出售或滥用被盗数据

如果黑客在攻击的数据库中有访问权限并且可以监听网络通信或敏感信息,他们就可以使用它。黑客们可能会将访问权出售给暗网上的其他黑客,或者使用找到的银行信息、信用卡数据或凭据来盗取账户存款。总而言之,他们可以造成很多伤害。

虽然这种方法比勒索软件更隐蔽,但仍有被锁定的风险。此外,如果黑客们决定出售这些信息,他们有可能找不到买家。最终,这种方法有太多可变的结果,黑客可能会选择不同的策略。

3.隐蔽的挖矿木马—“黑客的提款机”

在黑客入侵受害者的计算机后,他们可以做任何他们想做的事情。通常,黑客会安装“后门”,确保他们具有持久访问权限并可以长时间保持对计算机的控制。这种持久性访问权限的获得方式采用一个占用空间小、不显眼的“存根”的形式,它可能隐藏在计算机自动运行的代码段中。

Social Trading平台Fbit正式成立一级市场基金Fbit Ventures:据官方消息,Social Trading平台Fbit正式成立一级市场基金Fbit Ventures,将专注于投资孵化基于Web3.0的交易类早期创业项目,近期已经完成了第一期三千万美金规模基金的募集。

Fbit作为资管领域平台,也在探索链上资管解决方案。Fbit Ventures还会对被投项目进行流量、技术、商业模式等其他方面的支持,Fbit将与被投项目共建繁荣的web3.0交易生态。[2021/8/3 1:31:32]

虽然,持续控制受害者的计算机本身并不能赚钱,但是,你的计算机已经成为了这些黑客未来的“提款机”。

受到控制的计算机会“被迫”来计算哈希值,以便挖掘比特币、以太坊、门罗币或他们喜欢的任何其他加密货币。这会使得受控制的计算机的CPU、RAM和其他资源被大量消耗,增加受害者的电费。因为它保持隐藏的状态,所以受害者每次打开计算机时,挖矿程序都会自动运行。

在以上三种黑客常见的获利方式中,缓慢的挖掘加密货币将在短期内赚到最少的钱。但如果这种攻击没有引起注意,从长远来看,它可能会带来巨额回报,特别是如果它同时针对多个受害者。这种攻击方式是最隐蔽的,以缓慢、非侵入性的方式进行。与勒索软件不同,如果加密货币挖矿程序正在运行,受害者可能完全不会注意到。

FBI警告:加密货币交易所和持有者需提防攻击风险:美国联邦调查局(FBI)上周发布警告,提醒加密货币交易所和持有者,未来有可能发生攻击。该警告是使用 TLP 协议分发的,旨在向某些组分发所需的信息。FBI表示,有一些团体正在积极跟踪这些公司的漏洞以采取行动。这些群体正在使用一组技术来实施。这些技术包括 SIM 交换、技术支持欺诈和帐户窃取。该警告还详细说明了机构保持资产安全的一些建议:密切关注收到的邮件并监控账户的异常变动。(Bitcoin.com)[2021/7/12 0:44:44]

加密货币—黑客完美的“逃生之车”

加密货币是黑客的完美“逃生之车”,这得益于加密货币/区块链本身的自主性、匿名性、永久性和开放性的特点。使用加密货币,不会受到银行和政府的监督;没有银行手续费、账户维护费、最低余额限制或透支费用。

如果黑客仅接受加密货币支付,那么这个黑客实际上可以一直保持匿名。加密货币的交易不会展示身份信息、电子邮件地址、姓名或任何详细信息。

对黑客来说,加密货币最吸引人的特点可能是永久性:一旦汇款,就无法取回,区块链上的交易回滚不太可能发生。这意味着对于勒索软件之类的攻击,黑客可以携款逃跑。

了解区块链或加密货币的朋友们此时可能会有一个疑问:加密货币的一个重要注意事项是交易保存并显示在分布式的账本上。任何人都可以在区块链的浏览器上查询资金往来何处,“如果交易是公开的,那么坏人怎么能保持匿名?”

美FBI调查一起涉嫌加密货币投资的旁氏局,涉案金额达2800万美元:美国联邦调查局(FBI)正在调查一起庞氏局,三名嫌疑人通过承诺加密货币和其他投资回报从投资者那里窃取了2800万美元。根据2020年12月18日发布的一份文件,这些犯罪嫌疑人经营着一家名为Smart Partners LLC的投资公司,其前身为“1st Million”。据称,这三个人分别是Dennis Jali、John Frimpong以及Arley Johnson,他们假扮成牧师,在酒店和教堂活动期间寻求投资,承诺将通过投资加密货币市场和外汇来帮助教会和其成员实现财务自由。然而,FBI表示,该组织实际上是用所获资金来偿还早期投资者,并称这种行为“与庞氏局相一致”,并正在寻求受害者的帮助。FBI和美国SEC分别于今年7月和8月对涉嫌作案者提出了指控。(Crypto Briefing)[2021/1/2 16:15:27]

请注意,钱包地址和转账本身不携带个人身份信息。最重要的是,黑客可能经常通过“混合器”发送资金或通过多个钱包转移加密货币来“清洗”加密货币。事实上,有一些去中心化的协议可以为你做到这一点,例如tornado.cash可以“清洗”以太坊。通过多个钱包汇款,减少了与原钱包地址的联系,这可以大大增加隐秘程度。

抛开一些加密货币为区块链带来的丰富创新,仅考虑黑客相关的问题,比特币、以太坊等加密货币仍然是“黑客的货币”。没有监管机构,加密货币市场可以不受监管地继续运行下去,同时还会继续提供给黑客“逃生之车”,因为没有其他技术可以帮助黑客“完美犯罪”。

动态 | 美国FBI概述了性ICO的主要特点 并提醒投资者保持警惕:据cointelegraph消息,美国联邦调查局(FBI)概述了它认为欺诈性ICO具有特点。FBI表示,性产品的主要内容包括:对相关项目发起人的专业经验进行虚假陈述;虚假描述ICO在业内获得的巨大吸引力以及对代币预期回报的不切实际承诺。 FBI警告投资者,要对任何计划及其背后的个人进行尽职调查,并留意那些似乎完全只是基于互联网、很难或不可能获得实际地址或联系方式的公司。该局还建议,投资者应了解此次发行是在哪个司法管辖区注册的(如果有的话),以及它因此要遵守哪些法律法规。公众可以利用金融行业监管机构的经纪审查系统来核实公司实体的身份和注册状态。[2019/2/19]

FBI如何截获私钥并追回勒索损失?

虽然比特币交易是匿名的,但可以通过区块链的记录来跟踪资金,以了解这些交易的实际情况以及它们的去向。下面我们将带大家还原今年夏天发生的针对美国最大的管道运营商?ColonialPipeline的勒索攻击案件。

?ColonialPipeline在今年早些时候遭到勒索软件的攻击。最终,该公司支付了440万美元的比特币来恢复他们的系统和数据。由于这是一次非常大规模的袭击,联邦调查局也介入其中,并最终将黑客的钱包地址“扣押”了。

6月初,支付给黑客的数百万美元被FBI追回并归还给ColonialPipeline。就该案件结果的本身而言,这是一项巨大的成就,也为网络安全的奋斗迈出了一大步,事后FBI公开了一个关于追踪这笔比特币资金流向的报告。

虽然报告中关于案件的加密货币钱包地址被隐藏了,但因为它们遵循区块链可识别的特征,我们可以轻松的在区块链记录中找到。

确定完整的钱包地址后,我们可以在区块链上找到这个钱包,并查看传输的内容和时间。

请注意,截图中地址的比特币数量以及钱包地址的后半部分与FBI的报告一致。而比特币的价格会波动,所以截图中显示的价值将与今天有所不同。

追查资金流向

检查FBI报告中描述的步骤28-33,我们可以跟踪到大约五个不同的钱包地址,这些地址是这笔比特币的去向。

距离黑客原始的钱包地址只有五次转移,看起来这些黑客似乎没有使用“混合器”。他们只是……转移了钱......而已。

最终产生的交易将63个比特币发送到了FBI扣押的钱包地址。然而,63BTC与75比特币的勒索支付数量不一致,这是什么原因?

其他的比特币呢?

需要注意的是,无论当前的比特币/美元的兑换率如何,63BTC≠75BTC。我们只能推测,最初的一些资金可能是给了黑客附属的公司或合作伙伴的,因为众所周知,DarkSide确实在与其他人合作。也许这些资金发送到的钱包地址不是FBI能够控制且无法恢复的地址。

然而,值得庆幸的是,考虑到比特币的价格波动和被“扣押”钱包中的可用资金,在支付给黑客的最初440万美元中,有230万美元得以追回。

联邦调查局是如何获取到钱包的访问权限?

不幸的是,我们也对此感到疑惑。不管是什么原因什么方式,最终FBI已经发现了这个钱包地址所对应的私钥,但是获取的方式尚未公开披露。当然,黑客可能有一些错误,或者其他泄密事件,甚至是FBI进行的一些主动入侵……但这仍然是个谜。

加密货币的采用在黑客中究竟有多普及?

在“地下黑市”中,有许多罪犯仅使用加密货币来买卖恶意软件或黑客服务。

大多数情况下,这些服务或商品会显示一个加密货币二维码,可以使买家轻松地进行付款。如果买家无法扫描二维码,则网页会显示出卖家的加密货币钱包地址,买家可以在钱包中自行转账。

这在整个恶意软件市场和黑客论坛中都很普遍,而这只是用加密货币购买一些的工具和框架。

加密黑客的“新宠”—剪贴板劫持

最让我们细思极恐的是黑客的小型攻击形式——更改用户复制和粘贴的钱包地址。黑客可以锁定计算机的剪贴板并在受害者即将汇款时修改钱包地址。通过将恶意软件注入到用户的计算机中,可以执行简单的切换,将转账时收件人的钱包地址替换为黑客自己的钱包地址,当加密货币汇款入黑客的地址后,因为区块链的特性,受害者根本无法取回。

网络安全公司ThreatPost?最近截获到了一个隐藏在常见自动运行文件中的远程控制木马,这个文件被可疑地命名为“AdobeColorCR_ExtraSettings_1_0-mul.zip”。

经过对该文件外壳的”抽丝剥茧“,最终技术人员得到了该恶意文件的核心代码,并发现了明确的远程访问木马(RAT)功能——与传统的木马一样。

这个恶意文件最有趣的地方来了,技术人员发现了名为“funcCret”和“sendClib”的特殊函数。这也就是前文提到的”剪贴板攻击“。funcCret”的功能包括加密货币钱包地址,并将自动检查受害者计算机的剪贴板数据,有没有存在任何的钱包地址。如果在剪贴板中找到了钱包地址,“sendClib”函数会将黑客的恶意钱包地址替换剪贴板内容。而黑客的恶意钱包地址如下图所示:

我们可以先假设图片圈出的代码中的“bch”是指比特币现金,“etho”是指以太坊,但“Mizu”是什么呢?

通过将“Mizu”地址在比特币区块链浏览器中搜索,技术人员发现,汇入这个地址中的比特币有非常多,以至于该钱包地址的比特币总价值超过了200万美元。

使用这种“剪贴板劫持”技术的黑客目前已获利超过200万美元。

目前该恶意软件和攻击中使用的恶意钱包地址已被ThreatPost公司报告给此比特币滥用数据库。

我们需要注意

无论能否通过公共区块链追踪资金,事实仍然是黑客热衷于在恶意软件中使用加密货币,以合法的现实世界资产来牟利。

虽然我们已经看到勒索软件猖獗,信息和数据在暗网上拍卖,远程挖矿木马偷偷使用我们的计算机资源用来挖掘加密货币,但这种剪贴板劫持技术也同样值得我们注意。如果我们不去认真查看Windows文件系统中的角落,不去检查那些可以自动运行的程序或应用,下一个受到伤害的可能就是我们。

标签:加密货币比特币区块链BIT稳定币和加密货币的关系比特币红包无法追回区块链币在哪个平台交易ComBit

币安app官网下载热门资讯
比特币:边缘计算赋能元宇宙是否成为下一个风口!

近年来,云计算已成为数据中心部署增长的主要来源。少数几个基于超大规模云的数字平台,在其能力和影响力上都获得了持续的增长.

1900/1/1 0:00:00
WEB:Coinlist:为什么加密市场的代币数量越来越多?

来源:Coinlist博客编译:链捕手CoinMarketCap数据显示,目前加密市场中共有6000多种代币。这大约是世界上所有不同法定货币的35倍.

1900/1/1 0:00:00
DEFI:DeFi 收益耕作指南:收益耕作的运作方式、利弊及未来

撰文:WilliamPeaster本文编译自DeFiPulse收益耕作是人们通过向DeFi流动性池或抵押池提供流动性,即加密货币存款,从而获得被动收入的一种方式.

1900/1/1 0:00:00
AIN:应用公链NA Chain以创新价值赢得突破点

近年来,区块链逐步驶入发展的快车道,连续带动了加密应用的蓬勃发展,直到现在,行业也在一直寻求和探索着超高适用性的最优解决方案.

1900/1/1 0:00:00
BIT:TLM上线双重福利活动获奖名单公布

亲爱的BitMart用户:感谢您踊跃参与“TLM上线双重福利”活动,现公布获奖用户如下:序号用户名奖励(USDT)1hsu****@gmail.com389.332emj****@gmail.c.

1900/1/1 0:00:00
数字资产:ZT创新板即将上线XPRT

亲爱的ZT用户:ZT创新板即将上线XPRT,并开启XPRT/USDT交易对。具体上线时间如下:充值:已开启;交易:2021年9月16日17:00?;XPRT项目简介:Persistence是一个.

1900/1/1 0:00:00