El libro mayor de Bitcoin como arma secreta en la guerra contra el ransomware PlatoBlockchain Data Intelligence. Búsqueda vertical. Ai.

El libro mayor de Bitcoin como arma secreta en la guerra contra el ransomware

Sello de tiempo: 16 de septiembre de 2021 9:55 a.m.

El ransomware, software malicioso que cifra las computadoras y las mantiene "bloqueadas" hasta que se paga un rescate, es la amenaza cibernética de más rápido crecimiento en el mundo, según Coinfirm. Los recientes ataques a la infraestructura nacional crítica, como la incursión del Oleoducto Colonial que paralizó las entregas de petróleo y gas durante una semana a lo largo de la costa este de Estados Unidos, han disparado las alarmas. Los pagos de rescate casi siempre se realizan en Bitcoin u otras criptomonedas. 

Pero aunque muchos se sintieron conmovidos por el ataque Colonial Pipeline de May (la administración Biden emitió nuevas regulaciones sobre el oleoducto después), relativamente pocos están al tanto del acto final de ese drama: utilizando el análisis de blockchain, el FBI pudo seguir el flujo de fondos de pagos de rescate y recupera aproximadamente el 85% del Bitcoin pagado al grupo de ransomware DarkSide. 

De hecho, el análisis de blockchain, que se puede mejorar aún más con algoritmos de aprendizaje automático, es una nueva técnica prometedora en la batalla contra el ransomware. Toma algunos de los atributos centrales de las criptomonedas, por ejemplo, descentralización y transparencia, y usa esas propiedades. en contra delincuentes de malware. 

Si bien los detractores de las criptomonedas tienden a enfatizar su seudonimato, y por esa razón el atractivo para los elementos criminales, tienden a pasar por alto la visibilidad relativa de las transacciones BTC. El libro mayor de Bitcoin se actualiza y distribuye a decenas de miles de computadoras en todo el mundo en tiempo real cada día, y sus transacciones están ahí para que todos las vean. Al analizar los flujos, los especialistas forenses pueden a menudo Identifique actividades sospechosas. Esto podría llegar a ser el talón de Aquiles de la estafa del ransomware.

Un medio infrautilizado

"El libro mayor de blockchain en el que se registran las transacciones de Bitcoin es una herramienta forense infrautilizada que pueden utilizar las agencias de aplicación de la ley y otros para identificar e interrumpir actividades ilícitas". Michael Morrell, exdirector interino de la Agencia Central de Inteligencia de Estados Unidos, declaró en un blog reciente y agregó:

"En pocas palabras, el análisis de blockchain es una herramienta de recopilación de inteligencia y lucha contra el crimen altamente efectiva. […] Un experto en el ecosistema de criptomonedas llamó a la tecnología blockchain una 'bendición para la vigilancia'". 

En esta línea, tres investigadores de la Universidad de Columbia publicado un artículo, "Identificación de los actores de ransomware en la red Bitcoin", que describe cómo pudieron utilizar algoritmos de aprendizaje automático de gráficos y análisis de blockchain para identificar a los atacantes de ransomware con "una precisión de predicción del 85% en el conjunto de datos de prueba".

Aquellos en la primera línea de la lucha contra el ransomware ven la promesa en el análisis de blockchain. "Si bien al principio puede parecer que la criptomoneda habilita el ransomware, la criptomoneda es fundamental para combatirlo", dice a la revista Gurvais Grigg, director de tecnología del sector público global de Chainalysis, y agrega:

“Con las herramientas adecuadas, las fuerzas del orden pueden seguir el dinero en la cadena de bloques para comprender mejor e interrumpir las operaciones y la cadena de suministro de la organización. Este es un enfoque exitoso comprobado, como vimos en la 'eliminación' de enero de la cepa de ransomware NetWalker ".

Si el análisis de blockchain por sí solo es suficiente para frustrar las incursiones de ransomware o si debe combinarse con otras tácticas, como ejercer presión política / económica sobre países extranjeros que toleran grupos de ransomware, es otra cuestión.

¿Desenmascarar a los criminales?

Clifford Neuman, profesor asociado de práctica de ciencias de la computación en la Universidad del Sur de California, cree que el análisis de blockchain es una herramienta forense infrautilizada. “Mucha gente, incluidos los delincuentes, asume que Bitcoin es anónimo. De hecho, está lejos de serlo en el sentido de que el flujo de fondos es más visible en la cadena de bloques 'pública' que en casi cualquier otro tipo de transacciones ". Agrega: "El truco consiste en vincular los puntos finales a los individuos, y las herramientas de análisis de blockchain a veces se pueden utilizar para hacer esta vinculación".

¿Un medio válido para desenmascarar a los atacantes de ransomware? "Sí, absolutamente", dice a la revista Dave Jevans, director ejecutivo de la firma de criptointeligencia CipherTrace. "El uso de análisis efectivos de blockchain, software de inteligencia de criptomonedas", el tipo que produce su empresa, "para rastrear dónde los actores de ransomware están moviendo sus fondos puede llevar a los investigadores a sus verdaderas identidades mientras intentan desviar su cripto a fiat". 

David Carlisle, director de política y asuntos regulatorios de la firma de análisis Elliptic, le dice a la revista: "El análisis de blockchain ya es una técnica valiosa comprobada para permitir que las fuerzas del orden interrumpan las actividades de estas redes, como dejó en claro el caso Colonial Pipeline".

A los pocos días del pago del rescate del 8 de mayo por Colonial Pipeline, Elliptic pudo identificar la billetera Bitcoin que recibió el pago. Además, "[la billetera] había recibido pagos de Bitcoin desde marzo por un total de $ 17.5 millones". recuenta bufete de abogados Kelley Drye & Warren LLP. A Elliptic le ayudó el hecho de que los malhechores no habían utilizado "mezcladores" para ocultar aún más su rastro. Carlisle agrega: 

"La transparencia subyacente de Bitcoin y otros activos criptográficos significa que la aplicación de la ley a menudo puede obtener un nivel de conocimiento sobre la actividad de lavado de dinero que no sería posible con las monedas fiduciarias".

¿Un impulso del aprendizaje automático?

El aprendizaje automático (ML) es una de esas tecnologías emergentes, como blockchain, para las que parecen descubrirse casos de uso novedosos semanalmente. ¿ML también puede ayudar en la guerra contra el ransomware?

“Absolutamente”, le dice a la revista Allan Liska, analista senior de inteligencia de Recorded Future, y agrega: “Dada la gran cantidad de transacciones maliciosas que ocurren en un momento dado y la creciente sofisticación de algunos grupos de ransomware, las capacidades de lavado de dinero manual el análisis se ha convertido menos eficaz, y el aprendizaje automático es necesario para realizar un seguimiento eficaz de los signos reveladores de transacciones maliciosas ".

“El aprendizaje automático es muy prometedor en la lucha contra los delitos”, informa a la revista Roman Bieda, jefe de investigaciones de fraude en Coinfirm, pero requiere una gran cantidad de datos para ser eficaz. Es relativamente fácil adquirir direcciones de Bitcoin, que están disponibles en millones, pero un conjunto de datos sobre el cual se puede entrenar y probar un modelo de aprendizaje también requiere una cierta cantidad de direcciones de Bitcoin “fraudulentas”, es decir, actores de ransomware confirmados. "De lo contrario, el modelo marcará muchos falsos positivos o omitirá los datos fraudulentos como un porcentaje menor", dice Bieda.

Supongamos que desea construir un modelo que extraiga fotos de perros de un tesoro de fotos de gatos, pero tiene un conjunto de datos de entrenamiento con 1,000 fotos de gatos y solo una foto de perro. Un modelo de AA aprenden que está bien tratar todas las fotos como fotos de gatos, ya que el margen de error es [solo] 0.001 ”, señala Bieda. En otras palabras, el algoritmo simplemente adivinaría "gato" todo el tiempo, lo que haría que el modelo fuera inútil, por supuesto, incluso cuando obtuviera una puntuación alta en precisión general.  

En el estudio de la Universidad de Columbia, los investigadores utilizaron 400 millones de transacciones de Bitcoin y cerca de 40 millones de direcciones de Bitcoin, pero solo 143 de ellas fueron direcciones de ransomware confirmadas. 

"Demostramos que los subgrafos muy locales de los actores conocidos son suficientes para diferenciar entre ransomware, actores aleatorios y de juego con una precisión de predicción del 85% en el conjunto de datos de prueba", informaron los autores, y agregaron que "debería ser posible una mejora adicional mejorando la agrupación en clústeres algoritmos ". 

Sin embargo, agregaron que "obtener más datos que sean más confiables mejoraría la precisión", haciendo que el modelo sea más "sensible" y evitando el tipo de problema descrito anteriormente por Bieda, presumiblemente. 

En este sentido, el Departamento de Seguridad Nacional de los Estados Unidos emitió una directiva a raíz del ataque al Oleoducto Colonial que obligaba a las empresas de oleoductos a informar de los ataques cibernéticos. Informar de los ataques había sido opcional antes. Se podría decir que mandatos como estos ayudarán a construir un conjunto de datos públicos de direcciones "fraudulentas" necesarias para un análisis eficaz de la cadena de bloques. Carlisle agrega: "Las asociaciones público-privadas deben centrarse en compartir la inteligencia financiera relacionada con los ataques de ransomware".

Gran parte del análisis de blockchain se basa en la idea de que los atacantes pueden desenmascararse después de que se produce un ataque. Pero las agencias de aplicación de la ley, y especialmente las víctimas de ransomware, preferirían que las agresiones no ocurrieran en primer lugar. Según Jevans, el análisis de blockchain también puede permitir que las agencias de aplicación actúen de manera preventiva. Él le dice a la revista:

“Si bien los algoritmos de agrupación en clústeres de blockchain generalmente requieren que alguien realice un pago en una dirección para rastrear los fondos e identificar al propietario, las herramientas avanzadas como CipherTrace pueden producir inteligencia procesable en direcciones que aún no han recibido fondos, como los datos de IP que puede ayudar a los investigadores ".

¿Necesario pero no suficiente?

Algunos preguntan, sin embargo, si el análisis de la cadena de bloques por sí solo es suficiente para eliminar el ransomware. “El análisis de blockchain es una herramienta importante en el conjunto de herramientas de las fuerzas del orden, pero no existe una solución mágica para resolver el problema del ransomware”, dice Grigg. 

Liska agrega: “Incluso las mejores herramientas de investigación e identificación no son efectivas a menos que los gobiernos estén dispuestos a acceder. Detener las transacciones de ransomware requerirá la cooperación entre entidades privadas y gobiernos ".

Muchos ataques de ransomware se originan en las fronteras de Rusia, según Coinfirm, por lo que algunos preguntan si se puede presionar a Vladimir Putin para que cierre las operaciones de esos grupos. “Los casos pasados ​​muestran que no se puede hacer mucho contra los países relacionados con los ciberataques, incluso si hay indicadores muy sólidos de que los piratas informáticos están relacionados con los servicios secretos”, dice Bieda a la revista. 

El libro mayor de Bitcoin como arma secreta en la guerra contra el ransomware PlatoBlockchain Data Intelligence. Búsqueda vertical. Ai.

Otros cuestionan si el análisis de blockchain puede hacer mella en el problema del malware. "Es demasiado pronto para descartar la criptomoneda como vehículo de ransomware", dice a Magazine Edward Cartwright, profesor de economía en la Universidad De Montfort. "Si bien ha habido algunas historias de 'buenas noticias' en los últimos tiempos, la realidad es que los delincuentes de ransomware todavía usan Bitcoin de forma rutinaria como la forma más fácil y anónima de obtener rescates".

Además, incluso si Bitcoin se vuelve demasiado radiactivo para los malhechores debido a su trazabilidad, "un gran si", en opinión de Cartwright, "los delincuentes pueden simplemente pasar a monedas que son completamente anónimas e imposibles de rastrear", como Monero y otras monedas de privacidad, dice.

"Realmente necesitamos ver una mayor colaboración entre el sector público y privado para crear perfiles completos de estos grupos de ransomware", dice Jevans. "El intercambio de información en estas situaciones puede ser la solución milagrosa". 

"Uno de los desafíos es que los grupos de ransomware están recurriendo a métodos fuera de línea para mover Bitcoin", dice Liska. "Literalmente, dos personas que se encuentran en un estacionamiento o en un restaurante con sus teléfonos y su maletín lleno de efectivo". Este tipo de transacciones son mucho más difíciles de rastrear, le dice a la revista, "pero aún no es imposible con técnicas de rastreo más avanzadas".

Pero, ¿se moverán los malhechores a las monedas de privacidad?

¿Qué pasa con el punto de Cartwright de que los actores de ransomware simplemente se moverán a monedas de privacidad como Monero si Bitcoin resulta demasiado rastreable? Elliptic ya está experimentando "un aumento significativo" en los intentos de obtener pagos de las víctimas de ransomware en Monero, dijo Carlisle a Magazine. "Esto realmente ha aumentado desde la época del caso Colonial Pipeline, cuando las implicaciones de la trazabilidad de Bitcoin se mostraban claramente para cualquier otro ciberdelincuente que estuviera observando".

Pero las monedas de privacidad también se pueden rastrear, aunque es más difícil de hacer porque, a diferencia de Bitcoin, las monedas de privacidad ocultan las direcciones de los usuarios y los montos de las transacciones. Algunas jurisdicciones también han tomó medidas enérgicas contra las monedas de privacidad, o está pensando en hacerlo. Japón prohibió las monedas de privacidad en 2018, por ejemplo. Pero también hay un problema práctico. Las víctimas de ransomware que enfrentan una fecha límite de pago a menudo tienen problemas para encontrar intercambios que conviertan su moneda fiduciaria en XMR dentro del período de tiempo requerido para pagar a sus extorsionadores y desbloquear sus computadoras, dice Bieda a la revista. Las monedas de privacidad no están tan bien respaldadas por los intercambios de cifrado como Bitcoin. Jevans dice que "Bitcoin es simplemente la criptomoneda más fácil de adquirir", y agrega:

"Es poco probable que los actores de ransomware dejen de usar Bitcoin por completo debido a su liquidez y la accesibilidad de Bitcoin a rampas de salida fiduciarias en comparación con otras criptomonedas con privacidad mejorada".

La mayoría de los intercambios regulados no ofrecen operaciones con Monero, agrega Carlisle. “Las víctimas pueden negociar con los atacantes y persuadirlos de que acepten el pago en Bitcoin, pero los atacantes generalmente exigirán una tarifa del 10% al 15% por los pagos de Bitcoin por encima de lo que requerirían para un pago de Monero, lo que refleja su preocupación de que la trazabilidad de Bitcoin los deja vulnerables ". 

¿Prohibir las criptomonedas es una solución?

Recientemente, el ex supervisor del Banco de la Reserva Federal de Nueva York, Lee Reiners sugiere en un artículo de opinión del Wall Street Journal que dice que "hay una forma más sencilla y eficaz de detener la pandemia de ransomware: prohibir las criptomonedas". Después de todo, agregó, "el ransomware no puede tener éxito sin la criptomoneda". 

“Esto parece una solución que sería incluso peor que el problema”, comenta Benjamin Sauter, abogado de Kobre & Kim LLP. “Sin embargo, refleja una percepción, particularmente entre muchos legisladores en los EE. UU., De que la criptomoneda ofrece un refugio para los delincuentes que debe restringirse”, le dice a la revista. 

“La rentabilidad para los actores de amenazas que llevan nuestros ataques de ransomware ciertamente disminuiría si no existiera la criptomoneda, ya que el lavado de dinero fiduciario es inherentemente más costoso”, dice a la revista Bill Siegel, cofundador y director ejecutivo de la empresa de recuperación de ransomware Coveware. "Sin embargo, estos ataques seguirían ocurriendo".

“No creo que tenga sentido prohibir las criptomonedas”, agrega Neuman. “Las leyes existentes que están en los libros en los EE. UU. Requieren que se recopile información sobre ciertos tipos de instrumentos de pago para transacciones que superen un cierto umbral, y también podemos aplicar esas reglas a las criptomonedas. Si prohibimos las criptomonedas, los delincuentes simplemente cambiarán sus demandas de pago a otros instrumentos ".

Un "juego del gato y el ratón"

En el futuro, los grupos de ransomware tendrán que vivir con el riesgo cada vez mayor de ser atrapados por el uso de Bitcoin, dice Liska, "o decidir si están dispuestos a aceptar pagos de rescate significativamente más bajos para preservar mejor su anonimato".  

Esto sigue siendo "un juego del gato y el ratón entre los delincuentes y las fuerzas del orden", agrega Cartwright, "y los éxitos recientes de las fuerzas del orden se deben más a que los delincuentes se volvieron descuidados o cometieron errores [en lugar de] a una falla fundamental en [los criminales]] modelo de negocio ".

Es posible que se requiera un esfuerzo global para cambiar el rumbo del ransomware. Todos los países deben regular las plataformas de intercambio de criptomonedas, dice Carlisle, "de lo contrario, los atacantes seguirán teniendo vías fáciles para lavar sus ganancias del delito", mientras que Bieda predice que las criptomonedas seguirán utilizándose para el pago de rescates "hasta que se regulen estrictas regulaciones globales y regionales como a medida que se introducen duras penas para los KYC mediocres ”.

También es importante poner el ransomware en contexto. “El ransomware es simplemente el método más reciente utilizado por los delincuentes para monetizar sus hazañas”, dice Neuman. "En algún momento, podría dejar de llamarse ransomware, pero los ataques a los sistemas informáticos adoptarán otras formas". Sauter agrega: "Todos ganarían si hubiera una solución basada en la industria".

En resumen, la gente tiende a sobreestimar el anonimato de Bitcoin y a subestimar su transparencia. “Siempre habrá malos actores”, como señala Jevans, pero los grupos de ransomware se darán cuenta de que los pagos criptográficos son rastreables, dejándolos vulnerables y tal vez incluso incitándolos a encontrar otros medios para llevar a cabo su pérfido oficio.

Mientras tanto, "los avances continuos en el análisis de blockchain proporcionarán a los investigadores más y mejores perspectivas a lo largo del tiempo", dice Carlisle. Y a medida que los organismos encargados de hacer cumplir la ley se vuelven cada vez más expertos en el uso de estas herramientas analíticas, "podemos esperar ver más y mayores incautaciones [de ransomware] con el tiempo".

Fuente: https://cointelegraph.com/magazine/2021/09/16/bitcoin-ledger-as-a-secret-weapon-in-war-against-ransomware

Sello de tiempo:

Mas de Cointelegraph