최근 국내 사용자들을 대상으로 빈번히 발생하고 있는 범죄 유형 중 하나로 유출 된 개인정보를 통해
피해자에게 메일을 보내 협박한 뒤 비트코인을 갈취하는 공격을 Blackmail(약탈) 이라 함.

협박 메일 내 포함 된 비트코인 주소를 기점으로 AnChain.AI CISO를 통해 분석 시작

Entity category를 통해 해당 지갑 주소가 알려진 위협과 연관 되었는지 카테고리로 정보를 알려줌
unaffiliated : 소속되지 않은, 독립적인 의미를 지니고 있음

AML risk score를 통해 anchain에서 제공하는 머신러닝 기반 엔진으로 해당 지갑 주소의 평판 점수를 분석할 수 있음

Overview 정보를 통해 해당 지갑 주소의 기본적인 정보를 수집할 수 있음

Suspicious activities를 통해 해당 지갑 주소의 의심스러운 거래 내역을 빠르게 분석할 수 있음
주의할 점은 모든 거래 내역이 표시되진 않으며 의심스러운 내역으로 판단 된 내역만 표시 됨

해당 지갑 주소로 비트코인을 보낸 거래 내역 중 blackmail, darknet market과 연관 된 지갑 주소들을
CISO를 통해 탐지한 내역 확인

Transaction graph 정보를 통해 해당 지갑 주소의 거래 내역을 그래프 형태로 한눈에 펼쳐 분석 가능

필터를 통해 그래프 내 보내거나(Sent) 받은(Received) 거래 내역만 필터링이 가능하며 또한 타임라인을
통해 특정 시간대의 거래 내역만 그래프에 표시되도록 설정할 수 있음

Entity 필터링으로 그래프 내 특정 카테고리에 해당되는 엔티티만 필터링하여 검색 가능

Entity 필터링을 Blackmail로만 설정했을 때 Blackmail로 분류 된 지갑 주소에서 전달받은 비트코인
거래 내역 파악 가능

사건 케이스의 흐름에 맞게 분석을 수행하기 위해 피해자들로부터 전달받은 비트코인의 현황을 파악하기
위해 받은 내역만 필터링 적용 (Filter -> Received)

Received 적용 시 다양한 지갑주소로부터 비트코인을 전달받은 내역을 확인 가능하며 대부분 400~500달러
규모의 큰 금액을 송금받는 것으로 확인 가능

이번에는 피해자들로부터 약탈한 비트코인을 어디로 보냈는지 파악하기 위해 Sent 필터링 적용

Sent 필터링 적용 시 3개의 지갑 주소로 자신의 지갑에 있던 모든 비트코인을 나눠서 보내는 내역을 확인 가능

비트코인을 보낸 지갑 주소의 홉을 추가적으로 들어가보면 특정 지갑에서 대량의 비트코인들이
또 다른 지갑으로 이동되는 것을 확인할 수 있음

비트코인이 이동 된 지갑 주소를 들어가보면 2022년 8월 29일 기준 50 비트코인 가량이 이동되지 않고
저장 되어있음을 확인할 수 있음 이로써 해당 지갑을 모니터링하여 자금을 거래소로 이동시키는 지 확인 필요

그래프를 전체로 펼쳐보면 피해자로부터 받은 비트코인을 일제히 특정 한 지갑에 모우는 행위를 파악할 수 있음

해당 지갑 주소를 분석해보면 150 비트코인 가량을 지니고 있으며 아직 아무런 출금을 수행하지 않은것으로
파악 됨 마찬가지로 자금을 거래소로 이동시키는 지 확인 필요

그래프를 통해 거래 내역을 확인하면 20-30 비트코인의 큰 금액들을 해당 지갑 주소로 모우는 것으로
파악할 수 있으며 해당 지갑주소는 공격자의 자금책일 확률이 큼