北 랜섬웨어 관련 비트코인 주소 트랜잭션 추적(完)
Contents
결론
미국 사이버인프라보안청인 CISA에서 공개한 북한 랜섬웨어 관련 비트코인 주소 43개에 대한 분석을 진행했다. 43개의 주소 중 트랜잭션 기록이 있는 유효한 주소는 9개였으며, 그 중 2개는 Binance 거래소 소유의 주소로 식별되었으며, 트랜잭션 기록이 있는 유효한 주소의 잔금은 모두 0인 것을 확인했다.
그리고 2개의 주소는 블록체인 조회 사이트에서 조회되지 않는 주소인 것을 확인했으며, 그 중 하나는 라이트코인 주소의 포맷으로 추측되는데, 트랜잭션 기록은 없는 것을 확인했다.(https://blockchair.com/litecoin/address/LZ1VNJfn6mWjPzkCyoBvqWaBZYXAwn135)
따라서, 유효한 주소 9개 중 거래소 소유의 주소 2개를 제외한 7개 주소의 트랜잭션을 암호화폐 추적 솔루션인 QLUE를 이용해서 추적했다.
|美 CISA 공개 주소||유형|
|1KmWW6LgdgykBBrSXrFu9kdoHz95Fe9kQF||거래소 (Binance)|
|1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2||거래소 (Binance)|
|LZ1VNJfn6mWjPzkCyoBvqWaBZYXAwn135||조회되지 않는 주소
|
(Litecoin 주소로 추측)
|bc1qxrpevck3pq1yzrx2pq2rkvkvy0jnm56nzjv6pw||조회되지 않는 주소|
|1KCwfCUgnSy3pzNX7U1i5NwFzRtth4bRBc||일반 주소|
|1J8spy62o7z2AjQxoUpiCGnBh5cRWKVWJC||일반 주소|
|14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk||일반 주소|
|16ENLdHbnmDcEV8iqN4vuyZHa7sSdYRh76||일반 주소|
|16sYqXancDDiijcuruZecCkdBDwDf4vSEC||일반 주소|
|bc1q3wzxvu8yhs8h7mlkmf7277wyklkah9k4sm9anu||일반 주소|
|bc1q8xyt4jxhw7mgqpwd6qfdjyxgvjeuz57jxrvgk9||일반 주소|
분석요약
랜섬웨어 공격 그룹은 암호화폐 자금을 현금화하기 위해 거래소 소유의 주소에 전송하거나 Bitcoin ATM 및 암호화폐 결제 서비스 주소에 전송하는 등 다수의 암호화폐 서비스를 이용하려는 시도가 확인되었다.
트랜잭션 추적 중 식별된 암호화폐 서비스 목록
Exchange
- Bibox
- Binance
- Bithumb
- Bitmart
- Bitmex
- Bitrue
- Bitstamp
- Bittrex
- Bitzlato
- Bybit
- Coinbase
- Coincola
- Crypto.com
- Ferma.cc
- Garantex
- Gate.io
- Gemini
- Huobi
- Hydra market
- Ice3
- …
미국 사이버인프라보안청인 CISA에서 공개한 북한 랜섬웨어 관련 비트코인 주소 43개에 대한 분석을 진행했다. 43개의 주소 중 트랜잭션 기록이 있는 유효한 주소는 9개였으며, 그 중 2개는 Binance 거래소 소유의 주소로 식별되었으며, 트랜잭션 기록이 있는 유효한 주소의 잔금은 모두 0인 것을 확인했다.
그리고 2개의 주소는 블록체인 조회 사이트에서 조회되지 않는 주소인 것을 확인했으며, 그 중 하나는 라이트코인 주소의 포맷으로 추측되는데, 트랜잭션 기록은 없는 것을 확인했다.(https://blockchair.com/litecoin/address/LZ1VNJfn6mWjPzkCyoBvqWaBZYXAwn135)
따라서, 유효한 주소 9개 중 거래소 소유의 주소 2개를 제외한 7개 주소의 트랜잭션을 암호화폐 추적 솔루션인 QLUE를 이용해서 추적했다.
|美 CISA 공개 주소||유형|
|1KmWW6LgdgykBBrSXrFu9kdoHz95Fe9kQF||거래소 (Binance)|
|1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2||거래소 (Binance)|
|LZ1VNJfn6mWjPzkCyoBvqWaBZYXAwn135||조회되지 않는 주소
|
(Litecoin 주소로 추측)
|bc1qxrpevck3pq1yzrx2pq2rkvkvy0jnm56nzjv6pw||조회되지 않는 주소|
|1KCwfCUgnSy3pzNX7U1i5NwFzRtth4bRBc||일반 주소|
|1J8spy62o7z2AjQxoUpiCGnBh5cRWKVWJC||일반 주소|
|14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk||일반 주소|
|16ENLdHbnmDcEV8iqN4vuyZHa7sSdYRh76||일반 주소|
|16sYqXancDDiijcuruZecCkdBDwDf4vSEC||일반 주소|
|bc1q3wzxvu8yhs8h7mlkmf7277wyklkah9k4sm9anu||일반 주소|
|bc1q8xyt4jxhw7mgqpwd6qfdjyxgvjeuz57jxrvgk9||일반 주소|
분석요약
랜섬웨어 공격 그룹은 암호화폐 자금을 현금화하기 위해 거래소 소유의 주소에 전송하거나 Bitcoin ATM 및 암호화폐 결제 서비스 주소에 전송하는 등 다수의 암호화폐 서비스를 이용하려는 시도가 확인되었다.
트랜잭션 추적 중 식별된 암호화폐 서비스 목록
Exchange
- Bibox
- Binance
- Bithumb
- Bitmart
- Bitmex
- Bitrue
- Bitstamp
- Bittrex
- Bitzlato
- Bybit
- Coinbase
- Coincola
- Crypto.com
- Ferma.cc
- Garantex
- Gate.io
- Gemini
- Huobi
- Hydra market
- Ice3
- …