Ransomware, ondsindet software, der krypterer computere og holder dem "låst", indtil en løsesum er betalt, er verdens hurtigst voksende cybertrussel, ifølge Coinfirm. Nylige angreb på kritisk national infrastruktur, såsom Colonial Pipeline-indtrængen, der lammede olie- og gasleverancer i en uge langs den amerikanske østkyst, har sat alarmer i gang. Løsepengebetalinger foretages næsten altid i Bitcoin eller andre kryptovalutaer.
Men mens mange var rystede over Mays Colonial Pipeline-angreb - Biden-administrationen udstedte nye pipeline-regler i dens efterdønninger - er relativt få klar over dramaets sidste handling: Ved hjælp af blockchain-analyse var FBI i stand til at følger løsepengebetalingerne finansierer og genvinder omkring 85 % af den Bitcoin, der er betalt til løsesumwaregruppen DarkSide.
Faktisk er blockchain-analyse, som kan forbedres yderligere med maskinlæringsalgoritmer, en lovende ny teknik i kampen mod ransomware. Det tager nogle af kryptoens kerneegenskaber - f.eks. decentralisering og gennemsigtighed - og bruger disse egenskaber mod malware-forbrydere.
Mens kryptos modstandere har en tendens til at understrege dets pseudonymitet - og tiltrækningskraft for kriminelle elementer af den grund - har de en tendens til at overse den relative synlighed af BTC-transaktioner. Bitcoin hovedbogen opdateres og distribueres til titusindvis af computere globalt i realtid hver dag, og dens transaktioner er der for alle at se. Ved at analysere flows kan retsmedicinere ofte identificere mistænkelig aktivitet. Dette kan vise sig at være akilleshælen af ransomware-ketcheren.
Et underudnyttet middel
"Blockchain-hovedbogen, hvorpå Bitcoin-transaktioner registreres, er et underudnyttet retsmedicinsk værktøj, der kan bruges af retshåndhævende myndigheder og andre til at identificere og forstyrre ulovlige aktiviteter." Michael Morrell, tidligere fungerende direktør for US Central Intelligence Agency, erklærede i en nylig blog og tilføjede:
"Forenklet sagt er blockchain-analyse et yderst effektivt værktøj til bekæmpelse af kriminalitet og efterretningsindsamling.[...] En ekspert i kryptovaluta-økosystemet kaldte blockchain-teknologi en 'velsignelse for overvågning'."
I denne retning har tre forskere fra Columbia University for nylig offentliggjort et papir, "Identifikation af ransomware-aktører i Bitcoin-netværket", der beskriver, hvordan de var i stand til at bruge grafiske maskinlæringsalgoritmer og blockchain-analyse til at identificere ransomware-angribere med "85 % forudsigelsesnøjagtighed på testdatasættet."
Dem på frontlinjen af ransomware-kampen ser lovende i blockchain-analyse. "Selvom det i første omgang kan virke som om kryptovaluta muliggør ransomware, er kryptovaluta faktisk medvirkende til at bekæmpe det," siger Gurvais Grigg, global offentlig sektors teknologichef hos Chainalysis, til Magazine og tilføjer:
”Med de rigtige værktøjer kan retshåndhævende myndigheder følge pengene på blockchain for bedre at forstå og forstyrre organisationens drift og forsyningskæde. Dette er en bevist succesfuld tilgang, som vi så i januars 'fjernelse' af NetWalker ransomware-stammen."
Hvorvidt blockchain-analyse alene er nok til at modvirke ransomware-indtrængen, eller om det skal kombineres med andre taktikker, som at lægge politisk/økonomisk pres på udlandet, der tolererer ransomware-grupper, er et andet spørgsmål.
Afsløre kriminelle?
Clifford Neuman, lektor i computervidenskabspraksis ved University of Southern California, mener, at blockchain-analyse er et underudnyttet retsmedicinsk værktøj. "Mange mennesker, inklusive kriminelle, antager, at Bitcoin er anonym. Faktisk er det langt fra sådan, at pengestrømmen er mere synlig på den 'offentlige' blockchain, end den er i næsten alle andre former for transaktioner.” Han tilføjer: "Tricket er at knytte slutpunkterne til enkeltpersoner, og blockchain-analyseværktøjer kan nogle gange bruges til at lave denne sammenkædning."
Et gyldigt middel til at afsløre ransomware-angribere? "Ja, absolut," siger Dave Jevans, administrerende direktør for kryptointelligensfirmaet CipherTrace, til Magazine. "Ved brug af effektive blockchain-analyser kan kryptovaluta-intelligenssoftware" - den slags, som hans firma producerer - "for at spore, hvor ransomware-aktører flytter deres penge, føre efterforskere til deres sande identitet, når de forsøger at forskyde deres krypto til fiat."
David Carlisle, direktør for politik og regulatoriske anliggender hos analysefirmaet Elliptic, siger til Magazine: "Blockchain-analyse er allerede en bevist værdifuld teknik til at gøre det muligt for retshåndhævelse at forstyrre aktiviteterne i disse netværk, som Colonial Pipeline-sagen gjorde det klart."
Inden for få dage efter løsesumsbetalingen den 8. maj fra Colonial Pipeline var Elliptic i stand til at identificere den Bitcoin-pung, der modtog betalingen. Yderligere, "Den [pungen] havde modtaget Bitcoin-betalinger siden marts på i alt $17.5 millioner," fortæller advokatfirmaet Kelley Drye & Warren LLP. Elliptic blev hjulpet af det faktum, at ondsindede ikke havde brugt nogen "mixere" til yderligere at skjule deres spor. Carlisle tilføjer:
"Den underliggende gennemsigtighed af Bitcoin og andre kryptoaktiver betyder, at retshåndhævelse ofte kan få et niveau af indsigt i hvidvaskning af penge, som ikke ville være muligt med fiat-valutaer."
Et boost fra maskinlæring?
Machine learning (ML) er en af de nye teknologier, som blockchain, hvortil nye use cases synes at blive opdaget ugentligt. Kan ML også hjælpe i krigen mod ransomware?
"Absolut," siger Allan Liska, en senior efterretningsanalytiker hos Recorded Future, til Magazine og tilføjer yderligere: "I betragtning af det store antal ondsindede transaktioner, der finder sted på ethvert givet tidspunkt, og den stigende sofistikering af nogle ransomware-grupper, kan hvidvaskning af penge manuel analyse er blevet mindre effektiv - og maskinlæring er påkrævet for effektivt at spore kontrollampe tegn på ondsindede transaktioner."
"Machine Learning er meget lovende i bekæmpelse af forbrydelser," oplyser Roman Bieda, leder af svindelundersøgelser hos Coinfirm, til Magazine, men det kræver en enorm mængde data for at være effektiv. Det er relativt nemt at erhverve Bitcoin-adresser, som er tilgængelige i millioner, men et datasæt, hvorpå en læringsmodel kan trænes og testes, kræver også et vist antal "svigagtige" Bitcoin-adresser - altså bekræftede ransomware-aktører. "Ellers vil modellen enten markere en masse falske positiver eller vil udelade de svigagtige data som en mindre procentdel," siger Bieda.
Lad os sige, at du vil bygge en model, der vil trække billeder af hunde ud fra en skare af kattebilleder, men du har et træningsdatasæt med 1,000 kattebilleder og kun ét hundebillede. En ML-model "ville lærer at det er okay at behandle alle billeder som kattebilleder, da fejlmarginen [kun] er 0.001,” bemærker Bieda. Med andre ord., algoritmen ville bare gætte "kat" hele tiden, hvilket ville gøre modellen ubrugelig, selvfølgelig, selvom den scorede højt i den samlede nøjagtighed.
I Columbia University-undersøgelsen brugte forskere 400 millioner Bitcoin-transaktioner og tæt på 40 millioner Bitcoin-adresser, men kun 143 af disse var bekræftede ransomware-adresser.
"Vi viser, at meget lokale subgrafer af de kendte sådanne aktører er tilstrækkelige til at skelne mellem ransomware, tilfældige og gambling aktører med 85% forudsigelsesnøjagtighed på testdatasættet," rapporterede forfatterne og tilføjede, at "Yderligere forbedringer burde være mulige ved at forbedre klyngedannelse. algoritmer."
De tilføjede dog, at "At få flere data, der er mere pålidelige, ville forbedre nøjagtigheden", hvilket gør modellen mere "følsom" og undgår formentlig den slags problemer beskrevet ovenfor af Bieda.
På denne måde udstedte USA's Department of Homeland Security et direktiv i kølvandet på Colonial Pipeline-angrebet, der kræver, at rørledningsselskaber rapporterer cyberangreb. Indberetning af angreb havde tidligere været valgfrit. Mandater som disse vil uden tvivl hjælpe med at opbygge et offentligt datasæt af "svigagtige" adresser, der er nødvendige for effektiv blockchain-analyse. Carlisle tilføjer: "Offentlig-private partnerskaber skal fokusere på at dele finansiel intelligens relateret til ransomware-angreb."
En stor del af blockchain-analysen er baseret på den opfattelse, at angribere kan afsløres efter et angreb har fundet sted. Men retshåndhævende myndigheder, og især ransomware-ofre, vil foretrække, at overgreb ikke sker i første omgang. Ifølge Jevans kan blockchain-analyse også gøre det muligt for håndhævende myndigheder at handle præventivt. Han siger til Magazine:
"Mens blockchain clustering algoritmer typisk kræver, at nogen foretager en betaling til en adresse for at spore midlerne og identificere ejeren, kan avancerede værktøjer som CipherTrace også producere handlingsvenlig intelligens på adresser, der endnu ikke har modtaget midler, såsom IP-data. som kan hjælpe efterforskere."
Nødvendigt, men ikke tilstrækkeligt?
Nogle spørger dog, om blockchain-analyse i sig selv er tilstrækkelig til at fjerne ransomware. "Blockchain-analyse er et vigtigt værktøj i retshåndhævelsens værktøjssæt, men der er ingen enkelt sølvkugle til at løse ransomware-problemet," siger Grigg.
Liska tilføjer: "Selv de bedste forsknings- og identifikationsværktøjer er ikke effektive, medmindre regeringer er villige til at tage adgang. At stoppe ransomware-transaktioner vil kræve samarbejde mellem private enheder og regeringer."
Mange ransomware-angreb stammer ifølge Coinfirm fra Ruslands grænser, så nogle spørger, om Vladimir Putin kan blive presset til at lukke ned for disse gruppers operationer. "Tidligere sager viser, at der ikke kan gøres meget mod landene relateret til cyberangrebene, selvom der er meget stærke indikatorer på, at hackerne er relateret til de hemmelige tjenester," siger Bieda til Magazine.
Andre stiller spørgsmålstegn ved, om blockchain-analyse overhovedet kan gøre indhug i malware-problemet. "Det er alt for tidligt at afskrive cryptocurrency som et middel til ransomware," siger Edward Cartwright, professor i økonomi ved De Montfort University, til Magazine. "Selvom der har været et par 'gode nyheder' historier på det seneste, er virkeligheden, at ransomware-kriminelle stadig rutinemæssigt bruger Bitcoin som den nemmeste og mest anonyme måde at udtrække løsesummer på."
Desuden, selvom Bitcoin bliver for radioaktivt for ondsindede på grund af dets sporbarhed - "et stort hvis," efter Cartwrights opfattelse - "kan kriminelle simpelthen flytte til valutaer, der er fuldstændig anonyme og ikke sporbare," som Monero og andre privatlivsmønter, siger han.
"Vi har virkelig brug for at se øget samarbejde mellem den private og offentlige sektor for at opbygge fulde profiler af disse ransomware-grupper," siger Jevans. "Informationsdeling i disse situationer kan være sølvkuglen."
"En af udfordringerne er, at ransomware-grupper henvender sig til offline metoder til at flytte Bitcoin," siger Liska. "Bogstaveligt talt, to mennesker mødes på en parkeringsplads eller restaurant med deres telefoner og dokumentmappe fuld af kontanter." Disse typer transaktioner er meget sværere at spore, siger han til Magazine, "men stadig ikke umulige med mere avancerede sporingsteknikker."
Men vil ondsindede flytte til privatlivsmønter?
Hvad med Cartwrights pointe om, at ransomware-aktører simpelthen vil flytte til privatlivsmønter som Monero, hvis Bitcoin viser sig at være for sporbar? Elliptic ser allerede "en betydelig stigning" i forsøg på at opnå betalinger fra ransomware-ofre i Monero, siger Carlisle til Magazine. "Dette er virkelig steget siden Colonial Pipeline-sagen, hvor implikationerne af Bitcoins sporbarhed var tydeligt synlige for alle andre cyberkriminelle, der så på."
Men privatlivsmønter kan også spores, selvom det er sværere at gøre, fordi privatlivsmønter i modsætning til Bitcoin skjuler brugernes adresser og transaktionsbeløb. Nogle jurisdiktioner har også slået ned på privatlivsmønter, eller overvejer at gøre det. Japan forbød f.eks. privatlivsmønter i 2018. Men der er også et praktisk problem. Ransomware-ofre, der står over for en betalingsfrist, har ofte problemer med at finde børser, der vil konvertere deres fiat-valuta til XMR inden for den nødvendige tidsperiode for at betale deres afpressere og låse deres computere op, siger Bieda til Magazine. Privatlivsmønter er ikke nær så godt understøttet af kryptoudvekslinger som Bitcoin. Jevans siger "Bitcoin er simpelthen den nemmeste cryptocurrency at erhverve," tilføjer:
"Det er usandsynligt, at ransomware-aktører nogensinde helt vil stoppe med at bruge Bitcoin på grund af dets likviditet og tilgængeligheden af Bitcoin til at overtræde off-ramps i sammenligning med andre privatlivsforbedrede kryptovalutaer."
De fleste regulerede børser tilbyder ikke Monero-handel, tilføjer Carlisle. "Ofrene kan forhandle med angriberne og overtale dem til at acceptere betaling i Bitcoin, men angribere vil så typisk kræve et gebyr på 10%-15% for Bitcoin-betalinger over, hvad de ville kræve for en Monero-betaling - hvilket afspejler deres bekymring for, at Bitcoins sporbarhed efterlader dem sårbare.”
Er det en løsning at forbyde krypto?
For nylig, tidligere Federal Reserve Bank of New York Supervisor Lee Reiners foreslog i en udtalelse fra Wall Street Journal, at "Der er en enklere og mere effektiv måde at stoppe ransomware-pandemien på: Forbyd cryptocurrency." Når alt kommer til alt, tilføjede han, "Ransomware kan ikke lykkes uden kryptovaluta."
"Dette lyder som en løsning, der ville være endnu værre end problemet," kommenterer Benjamin Sauter, advokat hos Kobre & Kim LLP. "Det afspejler dog en opfattelse, især blandt mange politiske beslutningstagere i USA, om, at kryptovaluta tilbyder et fristed for kriminelle, som skal begrænses," siger han til Magazine.
"Lønsomheden for de trusselsaktører, der bærer vores ransomware-angreb, ville helt sikkert falde, hvis cryptocurrency ikke eksisterede, da hvidvaskning af fiat i sagens natur er dyrere," siger Bill Siegel, medstifter og administrerende direktør for ransomware-gendannelsesfirmaet Coveware, til Magazine. "Disse angreb ville dog stadig ske."
"Jeg synes ikke, det giver mening at forbyde cryptocurrency," tilføjer Neuman. "De eksisterende love, der er i bøgerne i USA, kræver, at der indsamles oplysninger om visse former for betalingsinstrumenter for transaktioner over en vis tærskel, og vi kan også anvende disse regler på cryptocurrency. Hvis vi forbyder kryptovaluta, vil kriminelle simpelthen flytte deres betalingskrav til andre instrumenter."
Et "kat og mus spil"
Fremover vil ransomware-grupper skulle leve med den stigende risiko for at blive fanget ved at bruge Bitcoin, siger Liska, "eller beslutte, om de er villige til at acceptere væsentligt lavere løsesumsbetalinger for bedre at bevare deres anonymitet."
Dette forbliver "et spil med kat og mus mellem de kriminelle og retshåndhævelsen," tilføjer Cartwright, "og de seneste succeser med retshåndhævelse skyldes mere, at forbryderne blev sjuskede eller lavede fejl [snarere] end en grundlæggende fejl i [forbrydernes] forretningsmodel."
En global indsats kan være påkrævet for at vende skuden mod ransomware. Alle lande er nødt til at regulere kryptoudvekslingsplatforme, siger Carlisle, "ellers vil angribere fortsat have lette muligheder for at hvidvaske deres udbytte fra kriminalitet," mens Bieda forudsiger, at krypto fortsat vil blive brugt til løsepengebetalinger "indtil strenge globale og regionale regler som f.eks. efterhånden som hårde sanktioner for matte KYC indføres."
Sporing af kolonirørledning #bitcoin #løsepenge til DarkSide til FBI-beslaglæggelse:
▸5/8 Colonial Pipeline betaler 75 BTC
▸5/9 DarkSide affiliate trækker 63.75 BTC
▸5/27 63.75 BTC flyttet til en anden tegnebog, privat nøgle "var i FBI's besiddelse"
▸6/8 BTC i tegnebogen beslaglagt af FBI pic.twitter.com/RAebpn3P3H- elliptisk (@elliptic) 10. Juni, 2021
Det er også vigtigt at sætte ransomware i sammenhæng. "Ransomware er simpelthen den seneste metode, der bruges af kriminelle til at tjene penge på deres bedrifter," siger Neuman. "På et tidspunkt kan det ophøre med at blive kaldt ransomware, men angreb på computersystemer vil tage andre former." Tilføjer Sauter: "Alle ville vinde, hvis der var en industribaseret løsning."
Kort sagt har folk en tendens til at overvurdere Bitcoins anonymitet og undervurdere dens gennemsigtighed. "Der vil altid være dårlige skuespillere," som Jevans bemærker, men ransomware-grupper vil indse, at kryptobetalinger er sporbare, hvilket efterlader dem sårbare og måske endda tilskynder dem til at finde andre måder at forfølge deres perfide handel på.
I mellemtiden, "Fortsat fremskridt inden for blockchain-analyse vil give efterforskere mere og endnu bedre indsigt over tid," siger Carlisle. Og efterhånden som retshåndhævende myndigheder bliver mere og mere dygtige i deres brug af disse analytiske værktøjer, "Vi kan forvente at se flere og større beslaglæggelser af [ransomware] over tid."
- &
- 000
- 11
- 7
- adgang
- tilgængelighed
- aktiviteter
- Affiliate
- algoritme
- algoritmer
- Alle
- blandt
- analyse
- analytiker
- analytics
- Anonymitet
- Aktiver
- forfattere
- Forbyde
- Bank
- Battle
- BEDSTE
- Biden
- Bill
- Bitcoin
- Bitcoin-betalinger
- bitcoin transaktioner
- Bitcoin Wallet
- blockchain
- Blockchain teknologi
- Blog
- Bøger
- BTC
- btc transaktioner
- bygge
- virksomhed
- forretningsmodel
- california
- regnskabsmæssige
- tilfælde
- Kontanter
- fanget
- Direktør
- kædeanalyse
- chef
- Chief Technology Officer
- CipherTrace
- Medstifter
- Mønter
- samarbejde
- kommentarer
- Virksomheder
- Datalogi
- computere
- fortsæt
- lande
- Kriminalitet
- forbrydelser
- Criminal
- Kriminelle
- krypto
- krypto udveksling
- Kryptobørser
- cryptocurrencies
- cryptocurrency
- valutaer
- Valuta
- Cyber
- cyberangreb
- cyberkriminelle
- data
- datasæt
- dag
- decentralisering
- Leverancer
- Efterspørgsel
- DID
- Direktør
- opdaget
- Afbryde
- Økonomi
- økosystem
- Effektiv
- Elliptisk
- udveksling
- Udvekslinger
- vender
- FBI
- Federal
- Federal Reserve
- Federal Reserve Bank
- Fiat
- Fiat valuta
- finansielle
- Firm
- Fornavn
- fejl
- flow
- Fokus
- følger
- Videresend
- bedrageri
- fuld
- fond
- fonde
- fremtiden
- Gambling
- spil
- GAS
- Global
- regeringer
- gruppe
- hackere
- hoved
- Skjule
- Høj
- Homeland Security
- Hvordan
- HTTPS
- kæmpe
- Identifikation
- identificere
- Herunder
- oplysninger
- Infrastruktur
- indsigt
- Intelligens
- Efterforskere
- IP
- IT
- Japan
- Nøgle
- KYC
- stor
- Lov
- retshåndhævelse
- Love
- føre
- læring
- Ledger
- Niveau
- Likviditet
- lokale
- machine learning
- Making
- malware
- Marts
- markere
- million
- ML
- model
- Monero
- penge
- Hvidvaskning af penge
- bevæge sig
- netværk
- net
- New York
- Begreb
- tilbyde
- Tilbud
- Officer
- Olie
- Okay
- Produktion
- Udtalelse
- ordrer
- Andet
- ejer
- pandemi
- Papir
- parkering
- partnerskaber
- Betal
- betaling
- betalinger
- Mennesker
- telefoner
- Platforme
- politik
- besiddelse
- forudsigelse
- tryk
- Beskyttelse af personlige oplysninger
- Privatlivets mønter
- private
- private nøgle
- Profiler
- rentabilitet
- beviser
- offentlige
- Ransom
- ransomware
- Ransomware angreb
- Reality
- Recover
- opsving
- regler
- indberette
- forskning
- reservebank
- Restaurant
- Risiko
- regler
- Rusland
- Videnskab
- sikkerhed
- beslaglagt
- forstand
- Tjenester
- sæt
- skifte
- Skilte
- Sølv
- So
- Software
- Syd
- Stater
- Historier
- gade
- Studere
- vellykket
- forsyne
- forsyningskæde
- Understøttet
- overvågning
- Systemer
- taktik
- Teknologier
- Teknologier
- fortæller
- prøve
- Tænker
- trusselsaktører
- Tide
- TIE
- tid
- Sporbarhed
- spor
- Sporing
- handle
- Trading
- Kurser
- transaktion
- Transaktioner
- Gennemsigtighed
- behandle
- os
- Forenet
- Forenede Stater
- universitet
- køretøj
- Specifikation
- synlighed
- Vladimir Putin
- Sårbar
- Wall Street
- Wall Street Journal
- tegnebog
- krig
- warren
- uge
- ugentlig
- vinde
- inden for
- ord
- XMR
