2020年，199個比特幣錢包地址接收了勒索軟件組織所有贖金的80％。在這199個地址中，有25個超級賬戶收集了46％的贖金。

　　Chainalysis是一家區(qū)塊鏈分析軟件公司，負(fù)責(zé)監(jiān)控公共加密貨幣的走勢并向執(zhí)法機(jī)構(gòu)提供工具，該公司追蹤了通過已知勒索軟件錢包轉(zhuǎn)移的價值超過3.486億美元的比特幣資金流向。

　　根據(jù)Chainalysis近日發(fā)布的分析報告，勒索軟件加密貨幣贖金付款在2020年猛增311％，大型企業(yè)的贖金動輒超過1000萬美元，總金額接近3.5億美元（下圖）：

　　雖然勒索軟件的攻擊頻率和贖金規(guī)模不斷增長，但是勒索軟件黑市經(jīng)濟(jì)卻呈現(xiàn)高度集中化的趨勢，少數(shù)勒索軟件集團(tuán)通過RaaS等租賃和加盟模式獲取了絕大多數(shù)的利潤，下圖是過去6年收入最高的六大勒索軟件幫派的營收統(tǒng)計(jì)：

　　調(diào)查發(fā)現(xiàn)，勒索軟件攻擊者將絕大部分贖金資金（約82％）轉(zhuǎn)移到了加密貨幣交易所和混合器，所謂混合器就是將各種來源的加密貨幣混合在一起以隱藏其來源的服務(wù)。攻擊者將其他資金投資到特定的比特幣存款地址，其功能類似于虛擬貨幣的公共銀行賬戶。

　　由于勒索軟件RaaS服務(wù)的興起，看似生態(tài)繁榮的勒索軟件市場（下圖）實(shí)際上大多數(shù)幫派是少數(shù)幫派控制的“馬甲”或者“加盟商”。三大勒索軟件—Ryuk、Maze和Doppelpaymer占所有已知贖金付款的一半以上。

　　勒索軟件如此猖獗的原因之一是大多攻擊者逃避了法律制裁（例如，與受害者不在同一個司法管轄區(qū)）。但是，如果大多數(shù)大型黑客組織都從少數(shù)已知比特幣錢包中獲取和兌現(xiàn)資金，這可能會切斷調(diào)查人員追溯贖金流動的機(jī)會。

　　根據(jù)報告（上圖），勒索軟件攻擊者將從受害者那里獲得的大部分資金轉(zhuǎn)移到主流交易所、高風(fēng)險交易所（這意味著那些沒有遵從或不存在合規(guī)標(biāo)準(zhǔn)的交易所）和混合器中。但是，勒索軟件的洗錢基礎(chǔ)設(shè)施可能只受幾個關(guān)鍵參與者的控制，類似于勒索軟件本身的情況。

　　報告指出，大多數(shù)資金流入相同的比特幣錢包地址表明，不同勒索軟件在使用相同的洗錢服務(wù)，這些信息可被用來分析勒索軟件幫派之間的關(guān)系，正因如此前業(yè)界通過分析錢包地址推斷Egregor實(shí)際上就是換了個馬甲的Maze（已宣布停止活動）。此外，勒索軟件共用洗錢服務(wù)的事實(shí)對于執(zhí)法者也是重要信息，這意味著通過掐斷一個洗錢基礎(chǔ)設(shè)施，能夠破壞多個勒索軟件活動，特別是其變現(xiàn)和使用加密貨幣的能力。

　　金·格勞爾指出：“如果（加密貨幣贖金）沒有辦法兌現(xiàn)（成法幣），那么（受害者）就有可能收回他們已經(jīng)支付的贖金?！?/p>

　　初步證據(jù)表明，少數(shù)勒索軟件運(yùn)營商正向長期合作者定期付款，或使用相同的存款地址來洗錢。Chainalysis研究負(fù)責(zé)人金·格勞爾指出：“我們看到了非法資金的去向。如果一個賬戶持續(xù)收到贖金付款的60％，就基本可以判定該地址屬于勒索軟件的會員?！?/p>

　　除了洗錢服務(wù)外，勒索軟件運(yùn)營者還向以下三類提供商發(fā)送加密貨幣，包括：

　　滲透測試服務(wù)：勒索軟件運(yùn)營商使用它來探測潛在受害者的網(wǎng)絡(luò)中的弱點(diǎn)；

　　漏洞利用和訪問權(quán)限賣方（經(jīng)紀(jì)人）：負(fù)責(zé)向勒索軟件運(yùn)營商和其他網(wǎng)絡(luò)罪犯出售各種軟件漏洞或訪問權(quán)限，可以用來向受害者的網(wǎng)絡(luò)注入惡意軟件；

　　防彈托管提供商：允許網(wǎng)絡(luò)犯罪分子匿名購買，并提供“防彈托管”的服務(wù)商。勒索軟件運(yùn)營商通常需要網(wǎng)絡(luò)托管來設(shè)置命令和控制（C2）域名，黑客通過該域名允許將命令發(fā)送到感染惡意軟件的受害者的計(jì)算機(jī)。