Bitcoin főkönyv titkos fegyverként a ransomware elleni háborúban

A zsarolóprogramok, a rosszindulatú szoftverek, amelyek titkosítják a számítógépeket, és a váltságdíj kifizetéséig „zárva” tartják, a Coinfirm szerint a világ leggyorsabban növekvő számítógépes fenyegetése. A közelmúlt kritikus nemzeti infrastruktúrái elleni támadások, mint például a gyarmati csővezeték behatolása, amely egy hétre megbénította az olaj- és gázszállítást az USA keleti partja mentén, riasztást keltettek. A váltságdíjakat szinte mindig Bitcoinban vagy más kriptovalutákban hajtják végre. 

De míg sokakat megrázott May gyarmati csővezetéki támadása - a Biden -adminisztráció utólagosan új csővezeték -szabályokat adott ki -, viszonylag kevesen vannak tisztában a dráma utolsó felvonásával: A blokklánc -elemzés segítségével az FBI képes volt következik a váltságdíj -alapok áramlása és a DarkSide ransomware csoportnak kifizetett Bitcoin körülbelül 85% -ának visszaszerzése. 

Valójában a blokklánc -elemzés, amely továbbfejleszthető gépi tanulási algoritmusokkal, ígéretes új technika a ransomware elleni küzdelemben. Ehhez szükség van néhány titkosítási alapvető tulajdonságra - például a decentralizációra és az átláthatóságra -, és ezeket a tulajdonságokat használja ellen rosszindulatú programok. 

Míg a kriptovallatás ellenzői hajlamosak hangsúlyozni álnevét - és emiatt a bűnözői elemek iránti vonzerejét -, hajlamosak figyelmen kívül hagyni a BTC -tranzakciók relatív láthatóságát. A Bitcoin főkönyvet naponta frissítik és valós időben tízezer számítógépen terjesztik világszerte, és a tranzakciói mindenki számára elérhetők. Az áramlások elemzésével az igazságügyi szakértők gyakran azonosítani gyanús tevékenység. Ez bizonyulhat a ransomware -ütő Achilles -sarkának.

Alulhasznált eszköz

"A blokklánc főkönyve, amelyen a Bitcoin tranzakciókat rögzítik, egy kihasználatlan törvényszéki eszköz, amelyet a bűnüldöző szervek és mások használhatnak a tiltott tevékenységek azonosítására és megzavarására." Michael Morrell, az Egyesült Államok Központi Hírszerző Ügynökségének volt megbízott igazgatója egy nemrégiben megjelent blogjában bejelentette:

„Egyszerűen fogalmazva, a blokklánc -elemzés egy rendkívül hatékony bűnözés elleni küzdelem és hírszerzési eszköz. […] A kriptovaluta ökoszisztéma egyik szakértője a blokklánc -technológiát a„ felügyelet áldásának ”nevezte. 

Ezen a vonalon a közelmúltban három Columbia Egyetemi kutató közzétett „Az Ransomware szereplők azonosítása a Bitcoin Hálózatban” című tanulmány leírja, hogy hogyan tudták használni a grafikus gépi tanulási algoritmusokat és a blokklánc -elemzést a ransomware támadók azonosításához, „85% -os előrejelzési pontossággal a tesztadat -készleten”.

A ransomware -küzdelem élvonalában lévők ígéretet látnak a blokklánc -elemzésben. "Bár elsőre úgy tűnhet, hogy a kriptovaluta lehetővé teszi a ransomware -t, a kriptovaluta valójában fontos szerepet játszik az ellene való küzdelemben" - mondja Gurvais Grigg, a Chainalysis globális közszféra technológiai igazgatója, hozzátéve:

„A megfelelő eszközökkel a bűnüldöző szervek követhetik a blokkláncon lévő pénzt, hogy jobban megértsék és megzavarják a szervezet működését és ellátási láncát. Ez bizonyítottan sikeres megközelítés, amint azt a NetWalker ransomware törzs januári „eltávolításában” láttuk. ”

Más kérdés, hogy a blokklánc -elemzés önmagában elegendő -e a ransomware -támadások meghiúsításához, vagy más taktikákkal kell összekapcsolni, például politikai/gazdasági nyomást gyakorolni a ransomware -csoportokat toleráló külföldi országokra.

Bűnözők leleplezése?

Clifford Neuman, a Dél -Kaliforniai Egyetem számítástechnikai gyakorlatának docense úgy véli, hogy a blokklánc -elemzés alulhasznált törvényszéki eszköz. „Sokan, köztük bűnözők is azt feltételezik, hogy a Bitcoin névtelen. Valójában ez messze nem olyan, hogy a pénzáramlás jobban látható a „nyilvános” blokkláncon, mint szinte minden más típusú ügyletnél. ” Hozzáteszi: „A trükk az, hogy a végpontokat egyénekhez kötik, és a blokklánc -elemző eszközök néha felhasználhatók az összekapcsoláshoz.”

Érvényes eszköz a ransomware támadók leleplezésére? „Igen, feltétlenül” - mondja Dave Jevans, a CipherTrace titkosítási titkosszolgálat vezérigazgatója. „Hatékony blokklánc-analitika, kriptovaluta-intelligencia-szoftver” segítségével-amelyet a cége gyárt-„annak nyomon követése, hogy a ransomware-szereplők hová költöztetik pénzeszközeiket, a nyomozókat valódi személyazonosságukhoz vezethetik, amikor megpróbálják fiatra roncsolni titkosításukat.” 

David Carlisle, az Elliptic elemzőcég politikai és szabályozási ügyekért felelős igazgatója a Magazine -nak elmondja: „A blokklánc -elemzés már bizonyítottan értékes technika annak lehetővé tételére, hogy a bűnüldöző szervek megzavarhassák e hálózatok tevékenységét, amint azt a Colonial Pipeline eset is egyértelművé tette.”

A Colonial Pipeline május 8 -i váltságdíját követő napon belül az Elliptic azonosítani tudta a fizetést kapott Bitcoin pénztárcát. Továbbá: „Ez [a pénztárca] március óta kapott Bitcoin -kifizetéseket, összesen 17.5 millió dollárt” elmeséli ügyvédi iroda Kelley Drye & Warren LLP. Az elliptikát segítette, hogy a gonosztevők semmilyen „keverőt” nem használtak a nyomuk további elhomályosítására. Carlisle hozzáteszi: 

„A Bitcoin és más kriptoeszközök átláthatósága azt jelenti, hogy a bűnüldöző szervek gyakran olyan szintű betekintést nyerhetnek a pénzmosási tevékenységekbe, ami nem lenne lehetséges a fiat valutákkal.”

Lökést a gépi tanulás?

A gépi tanulás (ML) egyike azoknak a feltörekvő technológiáknak, mint például a blokklánc, amelyek esetében úgy tűnik, hogy hetente új használati eseteket fedeznek fel. Az ML is segíthet a ransomware elleni háborúban?

„Abszolút” - mondja Allan Liska, a Recorded Future vezető hírszerzési elemzője, és hozzáteszi: „Tekintettel a rosszindulatú tranzakciók nagy számára, amelyek bármikor előfordulnak, és egyes zsarolóvírus -csoportok egyre kifinomultabbá válnak, a pénzmosási lehetőségek kézikönyv elemzés lett kevesebb hatékony-és gépi tanulásra van szükség a rosszindulatú tranzakciók árulkodó jeleinek hatékony nyomon követéséhez. ”

„A gépi tanulás nagyon ígéretes a bűncselekmények elleni küzdelemben” - tájékoztatja Roman Bieda, a Coinfirm csalásvizsgálatának vezetője a Magazint, de ahhoz, hogy hatékony legyen, hatalmas mennyiségű adatra van szükség. Viszonylag könnyű megszerezni a milliós számban elérhető Bitcoin -címeket, de egy olyan adatkészlethez, amelyen a tanulási modell betanítható és tesztelhető, bizonyos számú „csalárd” Bitcoin -címre is szükség van - azaz megerősített ransomware -szereplőkre. „Ellenkező esetben a modell vagy sok hamis pozitív eredményt jelöl meg, vagy kisebb százalékban kihagyja a csalárd adatokat” - mondja Bieda.

Tegyük fel, hogy olyan modellt szeretne építeni, amely kutyákról készült fotókat húz elő a macskafotókból, de van egy képzési adatkészlete 1,000 macskafotóval és csak egy kutyafotóval. Egy ML modell „megtenné tanulni hogy minden fotót macskafotóként kell kezelni, mivel a hibahatár [csak] 0.001 ” - jegyzi meg Bieda. Más szóval: az algoritmus állandóan csak „macskát” tippel, ami természetesen használhatatlanná teszi a modellt, még akkor is, ha magas pontosságot ért el.  

A Columbia Egyetem tanulmányában a kutatók 400 millió Bitcoin tranzakciót és közel 40 millió Bitcoin címet használtak fel, de ezek közül csak 143 volt megerősített ransomware cím. 

„Megmutatjuk, hogy az ismert ilyen szereplők nagyon helyi részgráfjai elegendőek a ransomware, a véletlenszerű és a szerencsejáték szereplők megkülönböztetéséhez, 85% -os előrejelzési pontossággal a tesztadatokban” - számoltak be a szerzők, hozzátéve, hogy „további javulást kell tenni a klaszterezés javításával algoritmusok. ” 

Hozzátették azonban, hogy „Ha több megbízható adatot szerezne be, akkor javulna a pontosság”, a modell „érzékenyebbé” válna, és elkerülhető lenne a Bieda által leírt probléma. 

Ennek mentén az Egyesült Államok Belbiztonsági Minisztériuma kiadott egy irányelvet a gyarmati csővezeték -támadás nyomán, amely előírja a csővezeték -társaságoknak, hogy jelentsék a kibertámadásokat. A támadások bejelentése korábban is választható volt. Az ilyen megbízatások vitathatatlanul segítenek a „blokk lánc hatékony elemzéséhez” szükséges „csalárd” címek nyilvános adatkészletének kialakításában. Carlisle hozzáteszi: „A köz- és magánszféra partnerségeinek a ransomware-támadásokkal kapcsolatos pénzügyi hírek megosztására kell összpontosítaniuk.”

Sok blokklánc -elemzés azon az elképzelésen alapul, hogy a támadókat le lehet leplezni egy támadás után. De a bűnüldöző szervek és különösen a zsarolóvírus -áldozatok inkább azt szeretnék, ha a támadások nem történnének meg először. Jevans szerint a blokklánc -elemzés lehetővé teheti a végrehajtó szervek számára, hogy megelőzően járjanak el. Azt mondja a Magazinnak:

„Míg a blokklánc klaszterező algoritmusok általában megkövetelik, hogy valakit fizessenek be egy címre az alapok nyomon követése és a tulajdonos azonosítása érdekében, az olyan fejlett eszközök, mint a CipherTrace, működőképes intelligenciát tudnak létrehozni olyan címeken, amelyek még nem kaptak pénzt, például IP -adatok amely segíthet a nyomozóknak. ”

Szükséges, de nem elegendő?

Egyesek azonban azt kérdezik, hogy a blokklánc -elemzés önmagában elegendő -e a ransomware kiküszöböléséhez. „A blokklánc -elemzés fontos eszköz a bűnüldözés eszköztárában, de nincs egyetlen ezüst golyó a ransomware -probléma megoldásához” - mondja Grigg. 

Liska hozzáteszi: „Még a legjobb kutatási és azonosítási eszközök sem hatékonyak, hacsak a kormányok nem hajlandók hozzáférni. A ransomware -tranzakciók leállításához együttműködésre lesz szükség a magánszervezetek és a kormányok között. ”

A Coinfirm szerint sok ransomware -támadás Oroszország határain alapul, ezért egyesek azt kérdezik, lehet -e nyomást gyakorolni Vlagyimir Putyinra e csoportok műveleteinek leállítására. "A korábbi esetek azt mutatják, hogy nem sokat lehet tenni a kibertámadásokkal kapcsolatos országok ellen, még akkor sem, ha nagyon erős mutatók mutatják, hogy a hackerek kapcsolatban állnak a titkosszolgálatokkal" - mondja Bieda a Magazine -nak. 

Mások megkérdőjelezik, hogy a blokklánc -elemzés egyáltalán befolyásolhatja -e a rosszindulatú programok problémáját. „Túl korai lenne leírni a kriptovalutát a ransomware eszközeként” - mondja Edward Cartwright, a De Montfort Egyetem közgazdászprofesszora. „Bár későn érkeztek néhány„ jó hír ”történetek, a valóság az, hogy a zsarolóvírus -bűnözők továbbra is rendszeresen használják a Bitcoint, mint a váltságdíj legegyszerűbb és legnevesebb módját.”

Sőt, még akkor is, ha a Bitcoin nyomon követhetősége miatt túlságosan radioaktív lesz a rosszindulatúak számára - Cartwright véleménye szerint - „nagy, ha” - a bűnözők egyszerűen átállhatnak a teljesen anonim és követhetetlen pénznemekre, mint Monero és más adatvédelmi érmék.

„Valóban fokozott együttműködést kell látnunk a magán- és a közszféra között, hogy teljes körű profilokat építsünk ki ezekből a ransomware -csoportokból” - mondja Jevans. "Az információmegosztás ilyen helyzetekben ezüst golyó lehet." 

„Az egyik kihívás az, hogy a ransomware -csoportok offline módszerekhez fordulnak a Bitcoin áthelyezéséhez” - mondja Liska. - Szó szerint két ember találkozik egy parkolóban vagy étteremben telefonjával és aktatáskájával, tele készpénzzel. Az ilyen típusú tranzakciókat sokkal nehezebb nyomon követni, mondja a Magazine -nak, „de még mindig nem lehetetlen a fejlettebb követési technikákkal”.

De vajon a gonosztevők átmennek -e az adatvédelmi érmékre?

Mi a helyzet Cartwright azon pontjával, miszerint a ransomware szereplők egyszerűen olyan adatvédelmi érmékre költöznek, mint a Monero, ha a Bitcoin túl nyomon követhetőnek bizonyul? Az Elliptic már „jelentős emelkedést” tapasztal azokban a kísérletekben, hogy kifizetéseket kérjen a raneromware áldozataitól Moneróban - mondja Carlisle a Magazine -nak. „Ez valóban nőtt a Colonial Pipeline eset óta, amikor a Bitcoin nyomon követhetőségének következményei egyértelműen megjelentek minden más kiberbűnöző figyelmét.”

De a magánéleti érmék is nyomon követhetők, bár nehezebb megtenni, mert a Bitcoinnal ellentétben az adatvédelmi érmék elrejtik a felhasználók címét és tranzakciós összegeit. Néhány joghatóságnak is van letörölték a magánéletre vonatkozó érméket, vagy erre gondolnak. Japán például 2018 -ban betiltotta a magánéletérméket. De van egy gyakorlati probléma is. A fizetési határidő előtt álló zsarolóvírus -áldozatoknak gyakran nehézséget okoz a tőzsdék megtalálása, amelyek a fiat -valutájukat XMR -re váltják a szükséges időn belül, hogy kifizessék zsarolóiknak és feloldják számítógépeiket - mondja Bieda a Magazine -nak. A titkosított tőzsdék közel sem támogatják az adatvédelmi érméket, mint a Bitcoin. Jevans azt mondja: „A Bitcoin egyszerűen a legegyszerűbben beszerezhető kriptovaluta”, hozzátéve:

"Nem valószínű, hogy a ransomware szereplők valaha is teljesen felhagynak a Bitcoin használatával a likviditása és a Bitcoin hozzáférhetősége miatt a fiat off-rámpákhoz képest, mint más adatvédelmi titkosított valuták."

A legtöbb szabályozott tőzsde nem kínál Monero kereskedést - teszi hozzá Carlisle. „Az áldozatok tárgyalhatnak a támadókkal, és rábírhatják őket, hogy fogadják el a Bitcoin -ban történő fizetést, de a támadók általában 10–15% -os díjat követelnek a Bitcoin -fizetésekért, mint amit a Monero -fizetéshez igényelnének - ami azt az aggodalmukat tükrözi, hogy a Bitcoin nyomon követhetősége sebezhetővé teszi őket. ” 

A megoldás a kriptovaluták betiltása?

Nemrégiben a New York -i Federal Reserve Bank volt felügyelője, Lee Reiners azt javasolta, a Wall Street Journal véleménycikkében: „Van egy egyszerűbb és hatékonyabb módszer a ransomware -járvány megállítására: Betiltani a kriptovalutát.” Végül is hozzátette: „A Ransomware nem tud sikeres lenni kriptovaluta nélkül.” 

„Ez olyan megoldásnak tűnik, amely még rosszabb is lenne, mint a probléma” - kommentálja Benjamin Sauter, a Kobre & Kim LLP ügyvédje. „Ez azonban azt a felfogást tükrözi, különösen az Egyesült Államok számos politikai döntéshozója körében, hogy a kriptovaluta menedéket kínál a bűnözők számára, amelyet korlátozni kell” - mondja a Magazine -nak. 

"A ransomware-támadásainkat fenyegető szereplők jövedelmezősége minden bizonnyal csökkenne, ha nem létezne kriptovaluta, mivel a fiat mosása eredendően drágább"-mondja Bill Siegel, a Coveware ransomware-helyreállító cég társalapítója és vezérigazgatója. - Ezek a támadások mégis megtörténnének.

„Szerintem nincs értelme betiltani a kriptovalutát” - teszi hozzá Neuman. „Az Egyesült Államokban a könyvekre vonatkozó hatályos törvények megkövetelik, hogy bizonyos küszöbérték feletti tranzakciók esetén bizonyos típusú fizetési eszközökről gyűjtsenek információkat, és ezeket a szabályokat alkalmazhatjuk a kriptovalutákra is. Ha betiltjuk a kriptovalutát, a bűnözők egyszerűen áthelyezik fizetési igényeiket más eszközökre. ”

"Macska és egér játék"

A továbbiakban a zsarolóvírus -csoportoknak élniük kell a Bitcoin használatának egyre növekvő kockázatával - mondja Liska - „vagy el kell dönteniük, hogy hajlandók -e jelentősen alacsonyabb váltságdíjat elfogadni névtelenségük megőrzése érdekében.”  

Ez továbbra is „macska -egér játék a bűnözők és a bűnüldözők között” - teszi hozzá Cartwright -, és a bűnüldözés legutóbbi sikerei inkább azért vannak, mert a bűnözők hanyagok vagy hibáztak [inkább], mint a [bűnözők] alapvető hibái. üzleti modell."

Globális erőfeszítésekre lehet szükség ahhoz, hogy a ransomware bekapcsolja az árapályt. Carlisle szerint minden országnak szabályoznia kell a titkosítási csereplatformokat, „különben a támadóknak továbbra is könnyű módja lesz a bűncselekményből származó bevétel mosására”, míg Bieda előrejelzése szerint a kriptovalutát továbbra is váltságdíjként használják fel „a szigorú globális és regionális szabályozásokig. szigorú büntetéseket vezetnek be a gyenge KYC miatt. ”

A gyarmati csővezeték nyomon követése #bitcoin #váltságdíj a DarkSide -tól az FBI lefoglalásáig:
/5/8 Colonial Pipeline 75 BTC fizet
/5/9 A DarkSide leányvállalata visszavonja a 63.75 BTC -t
/5/27 63.75 BTC egy másik pénztárcába költözött, a privát kulcs „az FBI birtokában volt”
/6/8 BTC az FBI által lefoglalt pénztárcában pic.twitter.com/RAebpn3P3H

- elliptikus (@ elliptic) Június 10, 2021

Fontos, hogy a ransomware -t is a kontextusba helyezze. „A zsarolóprogramok egyszerűen a legújabb módszerek, amelyeket a bűnözők használtak, hogy bevételre tegyenek szert” - mondja Neuman. "Egy bizonyos ponton előfordulhat, hogy megszűnik ransomware -nek nevezni, de a számítógépes rendszerek elleni támadások más formákat öltenek." Sauter hozzáteszi: „Mindenki nyerne, ha lenne iparági megoldás.”

Összefoglalva, az emberek hajlamosak túlbecsülni a Bitcoin névtelenségét és alábecsülni annak átláthatóságát. „Mindig lesznek rossz szereplők” - jegyzi meg Jevans, de a ransomware -csoportok fel fogják ismerni, hogy a kriptográfiai fizetések nyomon követhetők, így sebezhetőek maradnak, és talán még arra is buzdítják őket, hogy találjanak más eszközöket, amelyekkel folytathatják álnok kereskedelmüket.

Eközben: „A blokklánc -elemzés folyamatos fejlődése idővel több és még jobb betekintést nyújt a nyomozóknak” - mondja Carlisle. És ahogy a bűnüldöző szervek egyre ügyesebben használják ezeket az elemzési eszközöket, „azt várhatjuk, hogy idővel több és nagyobb [ransomware] lefoglalást fogunk látni.”

Forrás: https://cointelegraph.com/magazine/2021/09/16/bitcoin-ledger-as-a-secret-weapon-in-war-against-ransomware