Buku besar Bitcoin sebagai senjata rahasia dalam perang melawan ransomware

Ransomware, perangkat lunak berbahaya yang mengenkripsi komputer dan membuat mereka "terkunci" sampai uang tebusan dibayarkan, adalah ancaman dunia maya yang tumbuh paling cepat di dunia, menurut Coinfirm. Serangan baru-baru ini terhadap infrastruktur nasional yang kritis, seperti serangan Colonial Pipeline yang melumpuhkan pengiriman minyak dan gas selama seminggu di sepanjang Pantai Timur AS, telah memicu alarm. Pembayaran tebusan hampir selalu dilakukan dalam Bitcoin atau mata uang kripto lainnya. 

Tetapi sementara banyak yang terguncang oleh serangan Colonial Pipeline Mei — pemerintahan Biden mengeluarkan peraturan pipa baru setelahnya — relatif sedikit yang menyadari tindakan terakhir drama itu: Menggunakan analisis blockchain, FBI mampu mengikuti aliran dana pembayaran tebusan dan memulihkan sekitar 85% dari Bitcoin yang dibayarkan ke grup ransomware DarkSide. 

Faktanya, analisis blockchain, yang dapat lebih ditingkatkan dengan algoritma pembelajaran mesin, adalah teknik baru yang menjanjikan dalam pertempuran melawan ransomware. Dibutuhkan beberapa atribut inti kripto — misalnya, desentralisasi dan transparansi — dan menggunakan properti itu terhadap penjahat malware. 

Sementara pencela crypto cenderung menekankan nama samarannya – dan daya tarik elemen kriminal karena alasan itu – mereka cenderung mengabaikan visibilitas relatif dari transaksi BTC. Buku besar Bitcoin diperbarui dan didistribusikan ke puluhan ribu komputer di seluruh dunia secara real time setiap hari, dan transaksinya dapat dilihat semua orang. Dengan menganalisis aliran, spesialis forensik sering dapat mengenali kegiatan mencurigakan. Ini bisa menjadi kelemahan raket ransomware.

Sarana yang kurang dimanfaatkan

“Buku blockchain tempat transaksi Bitcoin dicatat adalah alat forensik yang kurang dimanfaatkan yang dapat digunakan oleh lembaga penegak hukum dan lainnya untuk mengidentifikasi dan mengganggu kegiatan terlarang,” Michael Morrell, mantan direktur pelaksana Badan Intelijen Pusat AS, menyatakan dalam blog baru-baru ini, menambahkan:

“Sederhananya, analisis blockchain adalah alat untuk memerangi kejahatan dan pengumpulan intelijen yang sangat efektif.[…] Seorang ahli di ekosistem cryptocurrency menyebut teknologi blockchain sebagai 'keuntungan untuk pengawasan.'” 

Sejalan dengan ini, tiga peneliti Universitas Columbia baru-baru ini diterbitkan sebuah makalah, “Identifying Ransomware Actors in the Bitcoin Network,” menjelaskan bagaimana mereka dapat menggunakan algoritma pembelajaran mesin grafik dan analisis blockchain untuk mengidentifikasi penyerang ransomware dengan “akurasi prediksi 85% pada kumpulan data pengujian.”

Mereka yang berada di garis depan perjuangan ransomware melihat janji dalam analisis blockchain. “Meskipun pada awalnya mungkin tampak seperti cryptocurrency memungkinkan ransomware, cryptocurrency sebenarnya berperan dalam memeranginya,” Gurvais Grigg, kepala teknologi sektor publik global di Chainalysis, mengatakan kepada Magazine, menambahkan:

“Dengan alat yang tepat, penegak hukum dapat mengikuti uang di blockchain untuk lebih memahami dan mengganggu operasi organisasi dan rantai pasokan. Ini adalah pendekatan yang terbukti sukses seperti yang kita lihat dalam 'penghapusan' virus ransomware NetWalker pada bulan Januari.”

Apakah analisis blockchain saja sudah cukup untuk menggagalkan serangan ransomware atau apakah perlu digabungkan dengan taktik lain, seperti membawa tekanan politik/ekonomi untuk ditanggung negara asing yang menoleransi kelompok ransomware, adalah pertanyaan lain.

Mengungkap penjahat?

Clifford Neuman, profesor praktik ilmu komputer di University of Southern California, percaya bahwa analisis blockchain adalah alat forensik yang kurang dimanfaatkan. “Banyak orang, termasuk penjahat, menganggap Bitcoin itu anonim. Faktanya, jauh dari itu karena aliran dana lebih terlihat di blockchain 'publik' daripada di hampir semua jenis transaksi lainnya.” Dia menambahkan: “Triknya adalah untuk mengikat titik akhir ke individu, dan alat analisis blockchain terkadang dapat digunakan untuk melakukan penautan ini.”

Cara yang valid untuk membuka kedok penyerang ransomware? “Ya, tentu saja,” Dave Jevans, CEO perusahaan intelijen kripto CipherTrace, mengatakan kepada Magazine. “Menggunakan analitik blockchain yang efektif, perangkat lunak intelijen cryptocurrency” – jenis yang diproduksi oleh perusahaannya – “untuk melacak di mana aktor ransomware memindahkan dana mereka dapat mengarahkan penyelidik ke identitas mereka yang sebenarnya saat mereka mencoba untuk mengubah crypto mereka menjadi fiat.” 

David Carlisle, direktur urusan kebijakan dan peraturan di perusahaan analitik Elliptic, mengatakan kepada Magazine: "Analisis Blockchain sudah merupakan teknik yang terbukti berharga untuk memungkinkan penegakan hukum mengganggu aktivitas jaringan ini, seperti yang dijelaskan oleh kasus Colonial Pipeline."

Dalam beberapa hari setelah pembayaran tebusan 8 Mei oleh Colonial Pipeline, Elliptic dapat mengidentifikasi dompet Bitcoin yang menerima pembayaran. Lebih lanjut, “Itu [dompet] telah menerima pembayaran Bitcoin sejak Maret dengan total $17.5 juta,” menceritakan kembali firma hukum Kelley Drye & Warren LLP. Elliptic dibantu oleh fakta bahwa para penjahat tidak menggunakan "pencampur" untuk lebih mengaburkan jejak mereka. Carlisle menambahkan: 

“Transparansi yang mendasari Bitcoin dan aset kripto lainnya berarti bahwa penegakan hukum seringkali dapat mengumpulkan tingkat wawasan tentang aktivitas pencucian uang yang tidak mungkin dilakukan dengan mata uang fiat.”

Dorongan dari pembelajaran mesin?

Pembelajaran mesin (ML) adalah salah satu teknologi yang muncul, seperti blockchain, di mana kasus penggunaan baru tampaknya ditemukan setiap minggu. Bisakah ML membantu juga dalam perang melawan ransomware?

“Tentu saja,” Allan Liska, seorang analis intelijen senior di Recorded Future, mengatakan kepada Magazine, menambahkan lebih lanjut: “Mengingat banyaknya transaksi berbahaya yang terjadi pada waktu tertentu dan meningkatnya kecanggihan beberapa kelompok ransomware, kemampuan pencucian uang panduan analisis telah menjadi kurang efektif — dan pembelajaran mesin diperlukan untuk secara efektif melacak tanda-tanda transaksi berbahaya.”

“Pembelajaran Mesin sangat menjanjikan dalam memerangi kejahatan,” Roman Bieda, kepala investigasi penipuan di Coinfirm, memberi tahu Majalah, tetapi membutuhkan sejumlah besar data agar efektif. Relatif mudah untuk mendapatkan alamat Bitcoin, yang tersedia dalam jutaan, tetapi kumpulan data yang dapat digunakan untuk melatih dan menguji model pembelajaran juga memerlukan sejumlah alamat Bitcoin “penipu” — yaitu, pelaku ransomware yang dikonfirmasi. “Jika tidak, model akan menandai banyak positif palsu atau akan menghilangkan data penipuan sebagai persentase kecil,” kata Bieda.

Katakanlah Anda ingin membuat model yang akan mengeluarkan foto anjing dari kumpulan foto kucing, tetapi Anda memiliki kumpulan data pelatihan dengan 1,000 foto kucing dan hanya satu foto anjing. Model ML “akan” belajar bahwa tidak apa-apa untuk memperlakukan semua foto sebagai foto kucing karena margin kesalahannya [hanya] 0.001,” catat Bieda. Dengan kata lain, algoritme hanya akan menebak "kucing" sepanjang waktu, yang akan membuat model tidak berguna, tentu saja, meskipun skornya tinggi dalam akurasi keseluruhan.  

Dalam studi Universitas Columbia, para peneliti menggunakan 400 juta transaksi Bitcoin dan hampir 40 juta alamat Bitcoin, tetapi hanya 143 di antaranya yang dikonfirmasi sebagai alamat ransomware. 

“Kami menunjukkan bahwa subgraf yang sangat lokal dari aktor semacam itu cukup untuk membedakan antara ransomware, aktor acak, dan perjudian dengan akurasi prediksi 85% pada kumpulan data uji,” lapor penulis, menambahkan bahwa “Peningkatan lebih lanjut harus dimungkinkan dengan meningkatkan pengelompokan algoritma.” 

Mereka menambahkan, bagaimanapun, bahwa "Mendapatkan lebih banyak data yang lebih andal akan meningkatkan akurasi," membuat model lebih "sensitif" dan mungkin menghindari jenis masalah yang dijelaskan di atas oleh Bieda. 

Sejalan dengan itu, Departemen Keamanan Dalam Negeri Amerika Serikat mengeluarkan arahan setelah serangan Colonial Pipeline yang mengharuskan perusahaan pipa untuk melaporkan serangan siber. Melaporkan serangan adalah opsional sebelumnya. Mandat seperti ini bisa dibilang akan membantu membangun kumpulan data publik dari alamat "penipuan" yang diperlukan untuk analisis blockchain yang efektif. Carlisle menambahkan: “Kemitraan publik-swasta perlu fokus pada berbagi intelijen keuangan yang terkait dengan serangan ransomware.”

Banyak analisis blockchain didasarkan pada gagasan bahwa penyerang dapat dibuka kedoknya setelah serangan terjadi. Tetapi lembaga penegak hukum, dan terutama korban ransomware, lebih suka bahwa serangan tidak terjadi sejak awal. Menurut Jevans, analisis blockchain juga dapat memungkinkan lembaga penegak untuk bertindak lebih dulu. Dia memberi tahu Majalah:

“Sementara algoritma pengelompokan blockchain biasanya mengharuskan seseorang untuk melakukan pembayaran ke alamat untuk melacak dana dan mengidentifikasi pemiliknya, alat canggih seperti CipherTrace dapat menghasilkan intelijen yang dapat ditindaklanjuti pada alamat yang belum menerima dana, juga, seperti data IP. yang dapat membantu penyidik.”

Perlu tapi tidak cukup?

Namun, beberapa orang bertanya, apakah analisis blockchain saja sudah cukup untuk menghilangkan ransomware. “Analisis Blockchain adalah alat penting dalam perangkat penegakan hukum, tetapi tidak ada satu pun solusi untuk memecahkan masalah ransomware,” kata Grigg. 

Liska menambahkan: “Bahkan alat penelitian dan identifikasi terbaik tidak akan efektif kecuali pemerintah bersedia mengambil akses. Menghentikan transaksi ransomware akan membutuhkan kerja sama antara entitas swasta dan pemerintah.”

Banyak serangan ransomware berasal dari perbatasan Rusia, menurut Coinfirm, sehingga beberapa orang bertanya apakah Vladimir Putin dapat ditekan untuk menutup operasi kelompok-kelompok itu. “Kasus-kasus sebelumnya menunjukkan tidak banyak yang bisa dilakukan terhadap negara-negara yang terkait dengan serangan siber, bahkan jika ada indikator yang sangat kuat bahwa para peretas terkait dengan dinas rahasia,” kata Bieda kepada Majalah. 

Yang lain mempertanyakan apakah analisis blockchain dapat membuat penyok sama sekali dalam masalah malware. “Terlalu dini untuk menghapus cryptocurrency sebagai kendaraan untuk ransomware,” Edward Cartwright, profesor ekonomi di De Montfort University, mengatakan kepada Magazine. “Meskipun ada beberapa cerita 'kabar baik' akhir-akhir ini, kenyataannya adalah bahwa penjahat ransomware masih secara rutin menggunakan Bitcoin sebagai cara termudah dan paling anonim untuk mengekstraksi uang tebusan.”

Selain itu, bahkan jika Bitcoin menjadi terlalu radioaktif untuk penjahat karena keterlacakannya — “besar jika,” dalam pandangan Cartwright — “penjahat dapat dengan mudah pindah ke mata uang yang benar-benar anonim dan tidak dapat dilacak,” seperti Monero dan koin privasi lainnya, katanya.

“Kami benar-benar perlu melihat peningkatan kolaborasi antara sektor swasta dan publik untuk membangun profil lengkap grup ransomware ini,” kata Jevans. “Berbagi informasi dalam situasi ini bisa menjadi peluru perak.” 

“Salah satu tantangannya adalah kelompok ransomware beralih ke metode offline untuk memindahkan Bitcoin,” kata Liska. “Secara harfiah, dua orang bertemu di tempat parkir atau restoran dengan telepon genggam dan tas kerja penuh uang.” Jenis transaksi ini jauh lebih sulit untuk dilacak, katanya kepada Magazine, "tetapi tetap bukan tidak mungkin dengan teknik pelacakan yang lebih maju."

Tetapi apakah penjahat akan pindah ke koin privasi?

Bagaimana dengan poin Cartwright bahwa pelaku ransomware hanya akan pindah ke koin privasi seperti Monero jika Bitcoin terbukti terlalu dapat dilacak? Elliptic sudah melihat "peningkatan yang signifikan" dalam upaya untuk mendapatkan pembayaran dari korban ransomware di Monero, kata Carlisle kepada Magazine. “Ini benar-benar meningkat sejak kasus Colonial Pipeline, ketika implikasi keterlacakan Bitcoin terlihat jelas bagi penjahat dunia maya lainnya yang menonton.”

Tetapi koin privasi juga dapat dilacak, meskipun lebih sulit dilakukan karena, tidak seperti Bitcoin, koin privasi menyembunyikan alamat pengguna dan jumlah transaksi. Beberapa yurisdiksi juga memiliki menindak koin privasi, atau sedang berpikir untuk melakukannya. Jepang melarang koin privasi pada tahun 2018, misalnya. Tapi ada masalah praktis juga. Korban Ransomware menghadapi tenggat waktu pembayaran sering mengalami kesulitan menemukan pertukaran yang akan mengubah mata uang fiat mereka menjadi XMR dalam jangka waktu yang diperlukan untuk membayar pemeras mereka dan membuka kunci komputer mereka, Bieda memberitahu Majalah. Koin privasi hampir tidak didukung oleh pertukaran kripto seperti Bitcoin. Jevans mengatakan “Bitcoin hanyalah cryptocurrency termudah untuk diperoleh,” menambahkan:

“Tidak mungkin pelaku ransomware akan benar-benar berhenti menggunakan Bitcoin karena likuiditasnya dan aksesibilitas Bitcoin ke luar jalur dibandingkan dengan cryptocurrency lain yang ditingkatkan privasinya.”

Sebagian besar bursa yang diatur tidak menawarkan perdagangan Monero, tambah Carlisle. “Korban dapat bernegosiasi dengan penyerang dan membujuk mereka untuk menerima pembayaran dalam Bitcoin, tetapi penyerang biasanya akan meminta biaya 10%-15% untuk pembayaran Bitcoin di atas apa yang mereka perlukan untuk pembayaran Monero — yang mencerminkan kekhawatiran mereka bahwa keterlacakan Bitcoin membuat mereka rentan.” 

Apakah melarang kripto adalah solusi?

Baru-baru ini, mantan Pengawas Federal Reserve Bank of New York Lee Reiners disarankan dalam artikel opini Wall Street Journal bahwa “Ada cara yang lebih sederhana dan efektif untuk menghentikan pandemi ransomware: Larangan cryptocurrency.” Lagi pula, dia menambahkan, “Ransomware tidak dapat berhasil tanpa cryptocurrency.” 

“Ini terdengar seperti solusi yang lebih buruk daripada masalahnya,” komentar Benjamin Sauter, pengacara di Kobre & Kim LLP. “Namun, itu mencerminkan persepsi, terutama di antara banyak pembuat kebijakan di AS, bahwa cryptocurrency menawarkan surga bagi penjahat yang perlu dibatasi,” katanya kepada Magazine. 

“Keuntungan bagi pelaku ancaman yang membawa serangan ransomware kami pasti akan berkurang jika cryptocurrency tidak ada, karena pencucian uang fiat secara inheren lebih mahal,” Bill Siegel, salah satu pendiri dan CEO perusahaan pemulihan ransomware Coveware, mengatakan kepada Magazine. "Serangan ini masih akan terjadi."

“Saya pikir tidak masuk akal untuk melarang cryptocurrency,” tambah Neuman. “Undang-undang yang ada yang ada di pembukuan di AS mengharuskan informasi dikumpulkan pada jenis instrumen pembayaran tertentu untuk transaksi di atas ambang batas tertentu, dan kami juga dapat menerapkan aturan itu pada cryptocurrency. Jika kami melarang cryptocurrency, penjahat hanya akan mengalihkan tuntutan pembayaran mereka ke instrumen lain.”

Sebuah “permainan kucing dan tikus”

Ke depan, kelompok ransomware harus hidup dengan meningkatnya risiko tertangkap menggunakan Bitcoin, kata Liska, “atau memutuskan apakah mereka bersedia menerima pembayaran tebusan yang jauh lebih rendah untuk menjaga anonimitas mereka dengan lebih baik.”  

Ini tetap “permainan kucing dan tikus antara penjahat dan penegak hukum,” tambah Cartwright, “dan keberhasilan penegakan hukum baru-baru ini lebih karena para penjahat ceroboh atau membuat kesalahan [daripada] kesalahan mendasar dalam [penjahat] model bisnis."

Upaya global mungkin diperlukan untuk mengubah arus ransomware. Semua negara perlu mengatur platform pertukaran crypto, kata Carlisle, “jika tidak, penyerang akan terus memiliki jalan mudah untuk mencuci hasil kejahatan mereka,” sementara Bieda memperkirakan bahwa crypto akan terus digunakan untuk pembayaran uang tebusan “sampai peraturan global dan regional yang ketat seperti itu. karena hukuman keras untuk KYC yang tidak bersemangat diperkenalkan.”

Menelusuri Saluran Kolonial #bitcoin #tebusan ke DarkSide ke penyitaan FBI:
5/8 Colonial Pipeline membayar 75 BTC
5/9 Afiliasi DarkSide menarik 63.75 BTC
5/27 63.75 BTC dipindahkan ke dompet lain, kunci pribadi “ada di tangan FBI”
6/8 BTC di dompet disita oleh FBI pic.twitter.com/RAebpn3P3H

- elliptic (@elliptic) Juni 10, 2021

Penting juga untuk menempatkan ransomware dalam konteksnya. “Ransomware hanyalah metode terbaru yang digunakan oleh penjahat untuk memonetisasi eksploitasi mereka,” kata Neuman. “Pada titik tertentu itu mungkin tidak lagi disebut ransomware, tetapi serangan terhadap sistem komputer akan mengambil bentuk lain.” Menambahkan Sauter: "Semua orang akan menang jika ada solusi berbasis industri."

Singkatnya, orang cenderung melebih-lebihkan anonimitas Bitcoin dan meremehkan transparansinya. “Akan selalu ada aktor jahat,” seperti yang dicatat Jevans, tetapi kelompok ransomware akan menyadari bahwa pembayaran kripto dapat dilacak, membuat mereka rentan dan bahkan mungkin menghasut mereka untuk menemukan cara lain untuk mengejar perdagangan durhaka mereka.

Sementara itu, “Kemajuan berkelanjutan dalam analitik blockchain akan memberi para penyelidik wawasan yang lebih banyak dan lebih baik dari waktu ke waktu,” kata Carlisle. Dan ketika lembaga penegak hukum menjadi semakin mahir dalam menggunakan alat analitik ini, “Kita dapat berharap untuk melihat lebih banyak, dan lebih besar, penyitaan [ransomware] dari waktu ke waktu.”

Sumber: https://cointelegraph.com/magazine/2021/09/16/bitcoin-ledger-as-a-secret-weapon-in-war-against-ransomware