De Blokketengegevens stellen voor dat UCSF voor $1.8 miljoen werd vrijgekocht.

September 3, 2020 Aus Von admin

UCSF betaalde naar verluidt 1,14 miljoen dollar aan hackers in juni 2020 als losgeld, maar er zou een tweede overdracht kunnen zijn geweest.

In het kort

  • De Universiteit van Californië San Fransisco betaalde op 12 juni 2020 meer dan 1 miljoen dollar aan ransomware aan hackers.
  • Nieuw onderzoek suggereert dat er misschien een tweede betaling is gedaan een dag eerder.
  • Als het waar is, zou de totale betaling door UCSF $ 1,8 miljoen zijn.

Onderzoekers bij keyless wallet provider ZenGo vermoeden dat de Universiteit van Californië San Francisco niet één, maar twee losgeld betalingen aan de Netwalker hacker groep eerder op het jaar heeft gedaan.

Zoals gemeld door Decrypt, toonden de transcripten aan dat er op 12 juni 2020 een betaling van $1,14 miljoen werd gedaan in Bitcoin Profit. Maar na de transactie op de blokketen te hebben bekeken, merkten de onderzoekers van ZenGo op dat er rond dezelfde tijd een tweede, zeer gelijkaardige transactie werd uitgevoerd, ter waarde van $700.0000- en dat het waarschijnlijk een verdere losgeldbetaling was.

„De voorheen onbekende betaling was chronologisch gezien de eerste. De media miste het omdat ze gewoon vertrouwden op de gelekte correspondentie tussen aanvallers en onderhandelaars, en ze gebruikten geen Bitcoin-analyse,“ vertelde Tal Be’ery, mede-oprichter bij ZenGo aan Decrypt.

We hebben contact opgenomen met UCSF en zullen dit artikel updaten als we terug horen.

Hoe hebben ze de betaling gevonden?

De onderzoekers van ZenGo hebben de oorspronkelijke betaling op de Bitcoin-blokketen opgespoord; als een zeer grote transactie was het moeilijk te missen. Ze wisten dat het betaalde losgeld 116,4 BTC was en ze wisten ook de betalingsdatum van 12 juni 2020. Aan de hand van deze informatie vroegen de onderzoekers de Bitcoin-blokketen voor gemelde transacties die aan de beschrijving voldeden, tot ze de juiste gegevens vonden.

Tijdens het onderzoek ontdekten de onderzoekers een soortgelijke betaling die 19 uur voor de gerapporteerde UCSF-betaling werd gedaan. Het geldspoor was zeer vergelijkbaar, met het geld dat afkomstig was van hetzelfde Binance-adres, en dat naar hetzelfde Netwalker-filiaal ging.

Deze betaling was misschien niet gerelateerd, maar Be’ery kreeg te horen dat het waarschijnlijker was dat het verband hield met de oorspronkelijke ransomware-aanval. „Ransomware-onderhandelaars die ik sprak, zeiden dat ze vaak proberen te betalen in ruil voor een aantal „mijlpalen“ ( bijvoorbeeld gegevens over hoe aanvallers het netwerk konden penetreren) om een verstandhouding tussen de partijen op te bouwen,“ zei Be’ery.

„Bovendien is de alternatieve verklaring, die de eerste betaling verbindt met een ander ongerelateerd ransomware-incident door dezelfde Netwalker-filiaal dat parallel gebeurt, onwaarschijnlijk“, voegde Be’ery eraan toe in een blogpost.

Een andere les die hier geleerd is, is hoeveel informatie er te vinden is op de blokketen. „Ons verhaal maakt een punt dat groter is dan het specifieke geval zelf. Het laat zien dat Bitcoin-onderzoek naar de blokketen essentiële informatie kan onthullen over losbandige incidenten,“ zei Be’ery.

Het is geen wonder dat blokketenanalyseservices steeds waardevoller worden.