Fueled through the protections afforded by anonymous payment systems such as Bitcoin, cyberextortionhas emerged as a lucrative cyber-criminal business model. Globally, schemes such as ransomware,wreak havoc on organizations, individuals, and even governments, with little or no help fromlaw enforcement to combat these crimes. Unfortunately, despite the high visibility of these crimes andthe billions of dollars that are produced, little is known about the underlying flow and dissemination ofthe extorted currency once paid by the victims. In this paper, we describe a cross-domain investigationframework to analyze the links among crimeware operators and their extortion campaigns. We highlightthe utility of the system through case studies of multiple cybercrime syndicates, beginning with Clop,a recent ransomware campaign. Our system, eXpos´e was able to successfully characterize 3rd-partyentities that the operator(s) of Clop have dealt with. This is done by mining Bitcoin transactions andfusing this information with other transactions captured within an entity-graph knowledge base that isconstructed by our system. Using eXpos´e, we present an analysis that shows that the Clop operator(s)were involved in multiple extortion campaigns, and by grouping scam-related addresses eXpos´e reveals adistribution of funds managed by these operators that is currently at more than 11K BTC (approximately96.7 Million U.S. dollars at the current exchange rate in November 2019). We also present case-studiesthat reveal close inter-connections to entities from other cyber-criminal operations, including the Necursbotnet, scam-based extortion campaigns and The Shadow Brokers.

비트코인과 같은 익명 결제 시스템이 제공하는 보호 기능을 통해 사이버 강탈은유리한 사이버범죄 비즈니스모델로 등장했다. 전 세계적으로 랜섬웨어와 같은 범죄는 큰 피해를 입히고 있으며 이러한 범죄와 대응하기위한 기관의 도움이 미묘한 시점이다. 이런 높은 가시성과 큰 강탈 자금에도 불구하고 희생자가 지불 한돈의 근본적인 흐름과 보급에 대해서는 알려진 바가거의 없다. 이 논문에서는 사이버범죄 운영자와 이들의강탈 캠페인 간의 연관성을 분석하기위한 교차 도메인을 이용한 수사 프레임 워크인 eXpos´e에 대해 설명한다. 최근 랜섬웨어 캠페인 인 Clop으로 시작하여 사이버 범죄 그룹의 사례 연구를 통해 시스템의 유용성을보여준다. 그 예로 Clop 운영자와 관계 있는 다른 사이버 범죄자들을 성공적으로 밝혀냈다. 이는 비트코인마이닝과 이 시스템이 구축한 지식 베이스의 정보를 융합함으로써 이루어졌다. eXpos´e을 사용하여 Clop운영자가 여러 강탈 캠페인에 참여했음을 보여주는 분석을 제시하고, 사기 관련 주소를 그룹화하여, 현재이 운영자가 관리하는 11K BTC 이상에 달하는 자금 분배도 찾아냈다. 또한 Necurs 봇넷과 The ShadowBrokers를 포함한 다른 사이버 범죄 조직의 개체와의 밀접한 상호 연결을 보여주는 사례 연구도 제공한다.