[Case #6] Tracking Wannacry Ransomware bitcoin addresses

2017년 5월에 발생한 Wannacry Ransomware 공격에 사용된 주소 3개에 대해 QLUE를 이용해 자금의 흐름을 살펴본다.

※ 본 게시글의 암호화폐 주소 추적은 BIG의 암호화폐 추적 솔루션인 "QLUE"를 사용했습니다.

1. Wannacry Ransomware 공격이란?

Wannacry Ransomware 공격은 2017년 5월에 발생한 사이버 공격으로, 전 세계 150여개국 20만대 이상의 컴퓨터가 감염되었다. 윈도우 OS 취약점을 악용해 퍼졌으며, 피해자 데이터를 암호화해서 인질로 잡아 몸값으로 비트코인을 요구했다.

이 글에서는 Wannacry Ransomware 공격의 랜섬노트에서 확인한 아래 3개의 주소로 들어온 비트코인 흐름에 대해 QLUE를 사용해 추적해 보겠다. 추적에 사용한 주소는 다음과 같다.

  • 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
  • 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
  • 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

2. Wannacry Ransomware 공격에 사용되었던 주소 추적

2-1) 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

  • 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw 주소 정보

QLUE에서 조회한 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw 주소의 요약 정보는 [그림 1]과 같다.

[그림 1] 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw 요약

해당 주소는 2017-05-12 12:43:33에 처음 트랜잭션이 발생했고, 2023-05-06 04:28:20에 마지막 트랜잭션이 일어난 것을 확인할 수 있다. 발생한 총 트랜잭션은 248번이며, 수신은 246번 송신은 2번 발생했다.

QLUE에서 부여한 엔티티 정보를 살펴보면 라자루스, Wannacry와 관련되어 있음을 알 수 있고, BitRank Score는 0점으로 High Risk 주소이다.

  • 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw 주소 트랜잭션 추적

위 주소는 2017-08-03 04:28:20에 발생한 8.73261636BTC 송신 트랜잭션과 2017-08-03 04:41:34에 발생한 9.03851401BTC 송신 트랜잭션이 존재한다.

8.73261636BTC는 [주소 1CCJCTiotg75x826rmWJzSFKtrnBaqjQWu]로 0.12980376BTC, [주소 1A6ezvhzGmCqNmGTTzxphLkByuJfjbuwxr]로 6.877482BTC, [주소 18hjgJRmafRkJmGNiNDy9sEsERLw53ZWv3]로 1.8376BTC가 전송되었다.

9.03851401BTC는 [주소 16dfTuSx4f78eQ81PzTgBtBDyZ7QhNZ8Vy]로 전송되었다.

[그림 2] 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

[주소 1CCJCTiotg75x826rmWJzSFKtrnBaqjQWu]로 수신받은 BTC는 [주소 1P2SbiV5zKAwMTZH1VdExXM2sXRjkCeTsx]로 보내진다.

[그림 3] 1P2SbiV5zKAwMTZH1VdExXM2sXRjkCeTsx

[주소 1A6ezvhzGmCqNmGTTzxphLkByuJfjbuwxr]로 들어온 6.877482BTC 중 5.1309BTC는 Coinswitch로, 1.746371BTC는 2번의 트랜잭션을 거치며 금액이 추가 된 후 여러 거래소 주소로 전송된 것으로 추정된다.

[주소 16dfTuSx4f78eQ81PzTgBtBDyZ7QhNZ8Vy]로 들어온 9.03851401BTC 중 0.00329381BTC는 Coinswich로 들어간 후 다른 거래소로 전송된 것으로 보이며, 9.02445824BTC는 [주소 1P2SbiV5zKAwMTZH1VdExXM2sXRjkCeTsx]로 전송되었다.

[그림 4] 1A6ezvhzGmCqNmGTTzxphLkByuJfjbuwxr (상) / 16dfTuSx4f78eQ81PzTgBtBDyZ7QhNZ8Vy (하)

위와 같은 과정을 거치며 [주소 1P2SbiV5zKAwMTZH1VdExXM2sXRjkCeTsx]는 대략 9BTC를 보유하게 되었다. 이 주소에 대한 트랜잭션은 자세히 살펴볼 필요성이 있어 아래 그림처럼 iGraph를 사용해 따라가 보겠다. 약 9BTC 중 1.80429238BTC는 2017-08-03 09:37:20에 Poloniex로 송금되었고, 나머지는 Coinswitch로 전송되었다.

[그림 5] 1P2SbiV5zKAwMTZH1VdExXM2sXRjkCeTsx의 iGraph

[주소 18hjgJRmafRkJmGNiNDy9sEsERLw53ZWv3]로 전송된 1.8376BTC는 Mixer 행위로 의심되는 3개의 주소로 송금되었다.

[그림 6]
[그림 6] 18hjgJRmafRkJmGNiNDy9sEsERLw53ZWv3

전체적인 자금 흐름은 [그림 7]과 같으며, Mixer, Poloniex, Coinswitch 등의 주소로 분산된 것을 확인할 수 있다.

[그림 7] 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw 전체 흐름

2-2) 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

  • 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn 주소 정보

QLUE에서 조회한 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn 주소의 요약 정보는 [그림 8]과 같다.

[그림 8] 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn 요약

해당 주소는 2017-05-12 14:34:58에 처음 트랜잭션이 발생했고, 2020-11-14 16:41:34에 마지막 트랜잭션이 일어난 것을 확인할 수 있다. 발생한 총 트랜잭션은 124번이며, 수신은 122번 송신은 2번 발생했다.

QLUE에서 부여한 엔티티 정보를 살펴보면 Wannacry와 관련되어 있음을 알 수 있고, BitRank Score는 0점으로 High Risk 주소이다.

  • 1115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn 주소 트랜잭션 추적

위 주소는 2017-08-03 04:41:34에 [주소 14Y8rfeRAcZkGqG451UGk1epq5zw3dVQif]로 7.05953352BTC, [주소 1CCJCTiotg75x826rmWJzSFKtrnBaqjQWu]로 0.01511375BTC, [주소 1Q8maVpVNAZbPiavySQz9JaiwsfhbT9vBz] 로 7.32042682BTC가 전송되었다.

2017-08-03 08:28:51에 [주소 14Y8rfeRAcZkGqG451UGk1epq5zw3dVQif]에서 [주소 1Gb74viaTcmRpEf5E8znnHsj34yjRkCx83]로 1.7922925BTC가 보내졌고, 나머지는 [주소 19JCSFRPyXnVn7ptXyqmhLKNBAmPcksZS6]로 전송되었다.

[그림 9] 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn 추적

[주소 1Gb74viaTcmRpEf5E8znnHsj34yjRkCx83]로 들어온 BTC 중 0.0104258BTC는 Coinpayments로 전송되었다. 1.74650371BTC는 Bitmain으로 전송되었으며, 0.03481833 BTC는 [주소 18nUSmv6T2QJBh3GiagpGf4EoDwBFACEqY]로 전송되었다.

[그림 9] 1Gb74viaTcmRpEf5E8znnHsj34yjRkCx83

[주소 18nUSmv6T2QJBh3GiagpGf4EoDwBFACEqY]에 대한 추적은 iGraph를 사용해 알아보겠다. 해당 주소는 아래 그림과 같이 5개의 수신 트랜잭션과 7개의 송신 트랜잭션이 존재한다. 2017년 8월에 발생한 3개의 송신 트랜잭션을 따라가다 보면 Poloniex, Bittrex, Bitmain으로 보내진 것을 확인할 수 있다.

[그림 10] 18nUSmv6T2QJBh3GiagpGf4EoDwBFACEqY의 iGraph

[주소 19JCSFRPyXnVn7ptXyqmhLKNBAmPcksZS6]로 들어온 5.26702985BTC는 1.67849182BTC와 3.58832696BTC로 나뉘어 각각 Mercadobitcoin, Coinswitch 거래소로 보내졌다.

[주소 1CCJCTiotg75x826rmWJzSFKtrnBaqjQWu]로 들어온 0.12980376BTC는 Poloniex, Coinswitch로 보내졌다.

[주소 1Q8maVpVNAZbPiavySQz9JaiwsfhbT9vBz]로 들어온 7.32042682BTC 중 1.0683BTC는 Coinswitch로 보내졌고, 나머지는 Bittrex로 전송되었다.

[그림 11] 19JCSFRPyXnVn7ptXyqmhLKNBAmPcksZS6 (상) / 1CCJCTiotg75x826rmWJzSFKtrnBaqjQWu (중) / 1Q8maVpVNAZbPiavySQz9JaiwsfhbT9vBz (하)

전체적인 자금 흐름은 [그림 12]와 같으며, Mixer와 여러 거래소로 들어간 것을 확인할 수 있다.

[그림 12] 1115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn 전체 흐름

2-3) 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

  • 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 주소 정보

QLUE에서 조회한 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 주소의 요약 정보는 [그림 13]과 같다.

[그림 13] 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 요약

해당 주소는 2017-05-12 11:08:21에 처음 트랜잭션이 발생했고, 2021-05-27 03:39:15에 마지막 트랜잭션이 일어난 것을 확인할 수 있다. 발생한 총 트랜잭션은 143번이며, 수신은 141번 송신은 2번 발생했다.

QLUE에서 부여한 엔티티 정보를 살펴보면 Wannacry와 관련되어 있음을 알 수 있고, BitRank Score는 0점으로 High Risk 주소이다.

  • 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 주소 트랜잭션 추적

위 주소는 다수의 수신 트랜잭션과 2건의 송신 트랜잭션이 존재한다. 2번의 송신 트랜잭션으로 수신된 BTC는 9.67641378BTC, 10.06868926BTC로 나뉘었다.

9.67641378BTC 중 0.10287428BTC는 [주소 1P2SbiV5zKAwMTZH1VdExXM2sXRjkCeTsx] 로 전송된다.

9.67641378BTC 중 남은 금액의 일부인 1.7359328BTC는 [주소 18nvB27xLHDzRSmSWHpmNKUtDyvhqsW9Ny]로 전송되었고, 나머지 금액은 Coinswitch로 전송된 것으로 추정된다

10.06868926BTC 중 8.22510425BTC는 [주소 1CZH527GEeR5WDyGac5WHrD6tnW5qJkFGR]로 전송되었고, 1.8326845BTC는 [주소 16LtUf54vnwvQkcdDTFYtGAeYC5G31yQMG]로 전송되었다.

[그림 14] 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 추적

[주소 1P2SbiV5zKAwMTZH1VdExXM2sXRjkCeTsx]로 들어온 BTC는 Poloniex, Coinswitch로 전송되었다.

[주소 18nvB27xLHDzRSmSWHpmNKUtDyvhqsW9Ny]로 송금된 1.7359328BTC 중 0.00420936BTC는 Coinpayments로 전송되었고, 나머지는 [주소 1AvWUNE7KL7ibSA4HajQyeMVh4MdZA3ksb]로 전송되었다.

[그림 15] 18nvB27xLHDzRSmSWHpmNKUtDyvhqsW9Ny (상) / 1P2SbiV5zKAwMTZH1VdExXM2sXRjkCeTsx (하)

[주소 1AvWUNE7KL7ibSA4HajQyeMVh4MdZA3ksb]로 들어온 BTC는 아래 그림과 같이 트랜잭션을 거치며 Coinpayments, Bitcoin.co.id, Cubits.com, Poloniex, Bitstamp 등의 거래소로 들어갔다.

[그림 16] 1AvWUNE7KL7ibSA4HajQyeMVh4MdZA3ksb

[주소 1CZH527GEeR5WDyGac5WHrD6tnW5qJkFGR]로 전송된 8.22510425BTC는 여러 트랜잭션을 거치며 Coinswitch, Coinpayments, Bittrex, Bitstamp, Binance, Mixer로 나뉘어 전송되었다.

[그림 17] 1CZH527GEeR5WDyGac5WHrD6tnW5qJkFGR

[주소 16LtUf54vnwvQkcdDTFYtGAeYC5G31yQMG]로 들어온 1.8326845BTC는 Bittrex, Paxful, Binance, Kraken 등의 거래소와 Mixer로 들어갔다.

[그림 18] 16LtUf54vnwvQkcdDTFYtGAeYC5G31yQMG

전체적인 자금 흐름은 [그림 19]와 같으며, Mixer와 여러 거래소로 들어간 것을 확인할 수 있다.

[그림 19] 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 전체 흐름

2-4) 최종 주소지 정리

[표 1] 최종 수신자 주소 추정

QLUE에서 최종 거래소 및 행위로 식별된 주소에 대해 위 표와 같이 정리하였다. 자금의 흐름을 따라가다 보면 계속 이어지기 때문에 보다 확실한 정보를 위해 공격자 주소 3개로부터 최대 8개의 트랜잭션 안에서 정리했다. 최종 주소지로 들어간 금액은 여러 트랜잭션을 거치며 나뉘거나 더해지기 때문에 공격으로 인한 피해 금액과는 다르다.

3. 결론

  • 3개의 주소를 따라가다 보면 일부 BTC는 [주소 1P2SbiV5zKAwMTZH1VdExXM2sXRjkCeTsx]에서 만나 거래소 Poloniex, Coinswitch로 전송된다.
  • 랜섬웨어 공격자는 추적을 피하고자 Mixer를 사용해서 트랜잭션을 복잡하게 만든 것으로 보인다.
  • Coinswitch, Bittrex, Poloniex 거래소를 주로 사용한 것으로 보인다.
  • 여러 트랜잭션을 거쳐 소액으로 분할해 다양한 거래소로 송금한 것으로 보인다.
You've successfully subscribed to PLAINBIT
Great! Next, complete checkout to get full access to all premium content.
Error! Could not sign up. invalid link.
Welcome back! You've successfully signed in.
Error! Could not sign in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Error! Stripe checkout failed.
Success! Your billing info is updated.
Error! Billing info update failed.