Ransomware, kwaadaardige software die computers versleutelt en 'op slot' houdt totdat losgeld wordt betaald, is volgens Coinfirm de snelst groeiende cyberdreiging ter wereld. Recente aanvallen op kritieke nationale infrastructuur, zoals de invasie van de koloniale pijpleiding die een week lang de olie- en gasleveringen langs de Amerikaanse oostkust verlamde, hebben alarmen doen afgaan. Losgeldbetalingen worden bijna altijd gedaan in Bitcoin of andere cryptocurrencies.
Maar hoewel velen geschokt waren door May's aanval op de koloniale pijpleiding - de regering-Biden vaardigde in de nasleep daarvan nieuwe pijplijnregels uit - zijn relatief weinigen op de hoogte van de laatste daad van dat drama: met behulp van blockchain-analyse was de FBI in staat om volgen de geldstroom voor losgeldbetalingen en ongeveer 85% van de Bitcoin terugkrijgen die aan ransomware-groep DarkSide is betaald.
In feite is blockchain-analyse, die verder kan worden verbeterd met machine learning-algoritmen, een veelbelovende nieuwe techniek in de strijd tegen ransomware. Het vereist enkele van de kernattributen van crypto - bijvoorbeeld decentralisatie en transparantie - en gebruikt die eigenschappen tegen malware misdadigers.
Hoewel de tegenstanders van crypto de neiging hebben om de pseudonimiteit ervan te benadrukken - en om die reden aantrekkelijkheid voor criminele elementen - hebben ze de neiging om de relatieve zichtbaarheid van BTC-transacties over het hoofd te zien. Het Bitcoin-grootboek wordt elke dag in realtime bijgewerkt en gedistribueerd naar tienduizenden computers wereldwijd, en de transacties zijn voor iedereen zichtbaar. Door stromen te analyseren, kunnen forensisch specialisten vaak: identificeren verdachte activiteit. Dit zou de achilleshiel van het ransomware-racket kunnen zijn.
Een onderbenut middel
"Het blockchain-grootboek waarop Bitcoin-transacties worden geregistreerd, is een onderbenut forensisch hulpmiddel dat door wetshandhavingsinstanties en anderen kan worden gebruikt om illegale activiteiten te identificeren en te verstoren," Michael Morrell, voormalig waarnemend directeur van de US Central Intelligence Agency, verklaarde in een recente blog en voegde eraan toe:
"Simpel gezegd, blockchain-analyse is een zeer effectieve tool voor misdaadbestrijding en het verzamelen van inlichtingen.[...] Een expert op het cryptocurrency-ecosysteem noemde blockchain-technologie een 'boon for surveillance'."
Langs deze lijnen hebben drie onderzoekers van Columbia University onlangs gepubliceerde een paper, "Identifying Ransomware Actors in the Bitcoin Network", waarin wordt beschreven hoe ze algoritmen voor het leren van grafische machines en blockchain-analyse konden gebruiken om ransomware-aanvallers te identificeren met "85% voorspellingsnauwkeurigheid op de testgegevensset."
Degenen in de frontlinie van de ransomware-strijd zien belofte in blockchain-analyse. "Hoewel het op het eerste gezicht lijkt alsof cryptocurrency ransomware mogelijk maakt, is cryptocurrency eigenlijk een hulpmiddel om het te bestrijden", vertelt Gurvais Grigg, chief technology officer van de wereldwijde publieke sector bij Chainalysis, aan Magazine, en voegt eraan toe:
“Met de juiste tools kan wetshandhaving het geld op de blockchain volgen om de activiteiten en toeleveringsketen van de organisatie beter te begrijpen en te verstoren. Dit is een bewezen succesvolle aanpak, zoals we zagen bij de 'verwijdering' van de NetWalker-ransomwarestam in januari."
Of blockchain-analyse alleen voldoende is om ransomware-aanvallen te dwarsbomen of dat het moet worden gecombineerd met andere tactieken, zoals het uitoefenen van politieke/economische druk op het buitenland dat ransomware-groepen tolereert, is een andere vraag.
Criminelen ontmaskeren?
Clifford Neuman, universitair hoofddocent computerwetenschappen aan de University of Southern California, is van mening dat blockchain-analyse een onderbenut forensisch hulpmiddel is. “Veel mensen, inclusief criminelen, gaan ervan uit dat Bitcoin anoniem is. In feite is het verre van zo dat de geldstroom beter zichtbaar is op de 'openbare' blockchain dan in bijna alle andere soorten transacties." Hij voegt eraan toe: "De truc is om de eindpunten aan individuen te koppelen, en soms kunnen blockchain-analysetools worden gebruikt om deze koppeling tot stand te brengen."
Een geldig middel om ransomware-aanvallers te ontmaskeren? "Ja, absoluut", vertelt Dave Jevans, CEO van crypto-intelligentiebedrijf CipherTrace, aan Magazine. "Het gebruik van effectieve blockchain-analyses, cryptocurrency-intelligentiesoftware" - het soort dat zijn bedrijf produceert - "om bij te houden waar ransomware-actoren hun geld naartoe brengen, kan onderzoekers naar hun ware identiteit leiden terwijl ze proberen hun crypto af te bouwen naar fiat."
David Carlisle, directeur beleid en regelgeving bij analysebedrijf Elliptic, vertelt Magazine: "Blockchain-analyse is al een bewezen waardevolle techniek om wetshandhavers in staat te stellen de activiteiten van deze netwerken te verstoren, zoals de zaak Colonial Pipeline duidelijk maakte."
Binnen enkele dagen na de losgeldbetaling van 8 mei door Colonial Pipeline, kon Elliptic de Bitcoin-portemonnee identificeren die de betaling ontving. Verder: "Het [de portemonnee] had sinds maart Bitcoin-betalingen ontvangen van in totaal $ 17.5 miljoen", vertelt advocatenkantoor Kelley Drye & Warren LLP. Elliptic werd geholpen door het feit dat de boosdoeners geen "mixers" hadden gebruikt om hun spoor verder te verduisteren. Carlisle voegt toe:
"De onderliggende transparantie van Bitcoin en andere crypto-activa betekent dat wetshandhavers vaak een niveau van inzicht kunnen krijgen in witwasactiviteiten dat niet mogelijk zou zijn met fiat-valuta's."
Een boost van machine learning?
Machine learning (ML) is een van die opkomende technologieën, zoals blockchain, waarvoor wekelijks nieuwe use-cases lijken te worden ontdekt. Kan ML ook helpen in de strijd tegen ransomware?
"Absoluut", zegt Allan Liska, een senior intelligence-analist bij Recorded Future, tegen Magazine en voegt er verder aan toe: "Gezien het grote aantal kwaadaardige transacties dat op een bepaald moment plaatsvindt en de toenemende verfijning van sommige ransomware-groepen, kunnen witwasmogelijkheden handboek analyse is geworden minder effectief is — en machine learning is vereist om de verklikkersignalen van kwaadaardige transacties effectief op te sporen.”
"Machine Learning is veelbelovend in het bestrijden van misdaden", laat Roman Bieda, hoofd fraudeonderzoeken bij Coinfirm, aan Magazine weten, maar het vereist een enorme hoeveelheid gegevens om effectief te zijn. Het is relatief eenvoudig om Bitcoin-adressen te verkrijgen, die in de miljoenen beschikbaar zijn, maar een dataset waarop een leermodel kan worden getraind en getest, vereist ook een bepaald aantal "frauduleuze" Bitcoin-adressen - dat wil zeggen, bevestigde ransomware-actoren. "Anders zal het model ofwel veel valse positieven markeren of de frauduleuze gegevens als een klein percentage weglaten", zegt Bieda.
Stel dat u een model wilt bouwen dat foto's van honden uit een groot aantal kattenfoto's haalt, maar u heeft een trainingsdataset met 1,000 kattenfoto's en slechts één hondenfoto. Een ML-model "zou" leren dat het oké is om alle foto's als kattenfoto's te behandelen, aangezien de foutmarge [slechts] 0.001 is", merkt Bieda op. Met andere woorden, het algoritme zou de hele tijd "kat" raden, wat het model natuurlijk onbruikbaar zou maken, ook al scoorde het hoog in algemene nauwkeurigheid.
In de studie van Columbia University maakten onderzoekers gebruik van 400 miljoen Bitcoin-transacties en bijna 40 miljoen Bitcoin-adressen, maar slechts 143 hiervan waren bevestigde ransomware-adressen.
"We laten zien dat zeer lokale subgrafieken van de bekende dergelijke actoren voldoende zijn om onderscheid te maken tussen ransomware, willekeurige en gokactoren met een voorspellingsnauwkeurigheid van 85% op de testgegevensset", meldden de auteurs, eraan toevoegend dat "Verdere verbetering mogelijk moet zijn door het verbeteren van clustering algoritmen.”
Ze voegden er echter aan toe dat "het verkrijgen van meer gegevens die betrouwbaarder zijn, de nauwkeurigheid zou verbeteren", waardoor het model "gevoeliger" wordt en het soort probleem dat hierboven door Bieda wordt beschreven, vermoedelijk wordt vermeden.
In het verlengde hiervan heeft het Amerikaanse ministerie van Binnenlandse Veiligheid een richtlijn uitgevaardigd in de nasleep van de aanval op de koloniale pijpleiding, waarbij pijpleidingbedrijven verplicht werden cyberaanvallen te melden. Eerder was het melden van aanvallen optioneel. Dergelijke mandaten zullen aantoonbaar helpen bij het opbouwen van een openbare dataset van "frauduleuze" adressen die nodig zijn voor een effectieve blockchain-analyse. Carlisle voegt eraan toe: "Publiek-private partnerschappen moeten zich richten op het delen van financiële informatie met betrekking tot ransomware-aanvallen."
Veel blockchain-analyse is gebaseerd op het idee dat aanvallers kunnen worden ontmaskerd nadat een aanval heeft plaatsgevonden. Maar wetshandhavingsinstanties, en vooral slachtoffers van ransomware, zouden liever zien dat er in de eerste plaats geen aanvallen plaatsvinden. Volgens Jevans kan blockchain-analyse ook handhavingsinstanties in staat stellen preventief op te treden. Hij vertelt aan Magazine:
"Hoewel blockchain-clusteringsalgoritmen doorgaans vereisen dat iemand een betaling doet naar een adres om het geld te volgen en de eigenaar te identificeren, kunnen geavanceerde tools zoals CipherTrace bruikbare informatie produceren over adressen die nog geld moeten ontvangen, zoals IP-gegevens die onderzoekers kunnen helpen.”
Noodzakelijk maar niet voldoende?
Sommigen vragen zich echter af of blockchain-analyse op zich voldoende is om ransomware te elimineren. "Blockchain-analyse is een belangrijk hulpmiddel in de toolkit van wetshandhavers, maar er is geen enkel wondermiddel om het ransomware-probleem op te lossen", zegt Grigg.
Liska voegt toe: “Zelfs de beste onderzoeks- en identificatietools zijn niet effectief, tenzij overheden bereid zijn toegang te krijgen. Het stoppen van ransomware-transacties vereist samenwerking tussen particuliere entiteiten en overheden.”
Veel ransomware-aanvallen vinden volgens Coinfirm hun oorsprong aan de grenzen van Rusland, dus sommigen vragen of Vladimir Poetin onder druk kan worden gezet om de activiteiten van die groepen te stoppen. "Uit eerdere zaken blijkt dat er niet veel kan worden gedaan tegen de landen die verband houden met de cyberaanvallen, ook al zijn er zeer sterke aanwijzingen dat de hackers banden hebben met de geheime diensten", vertelt Bieda aan Magazine.
Anderen vragen zich af of blockchain-analyse een deuk kan maken in het malwareprobleem. "Het is veel te vroeg om cryptocurrency af te schrijven als een voertuig voor ransomware", vertelt Edward Cartwright, hoogleraar economie aan De Montfort University, aan Magazine. "Hoewel er de laatste tijd een paar 'goed nieuws'-verhalen zijn geweest, is de realiteit dat ransomware-criminelen nog steeds routinematig Bitcoin gebruiken als de gemakkelijkste en meest anonieme manier om losgeld te verkrijgen."
Bovendien, zelfs als Bitcoin te radioactief wordt voor kwaadwillenden vanwege zijn traceerbaarheid - "een grote als", in de mening van Cartwright - "kunnen criminelen eenvoudigweg naar valuta's gaan die volledig anoniem en niet-traceerbaar zijn", zoals Monero en andere privacymunten, zegt hij.
"We hebben echt meer samenwerking nodig tussen de private en publieke sector om volledige profielen van deze ransomware-groepen op te bouwen", zegt Jevans. "Het delen van informatie in deze situaties kan de zilveren kogel zijn."
"Een van de uitdagingen is dat ransomware-groepen zich wenden tot offline methoden om Bitcoin te verplaatsen", zegt Liska. "Letterlijk, twee mensen ontmoeten elkaar op een parkeerplaats of restaurant met hun telefoons en aktetas vol geld." Dit soort transacties is veel moeilijker te traceren, zegt hij tegen Magazine, "maar nog steeds niet onmogelijk met meer geavanceerde trackingtechnieken."
Maar zullen boosdoeners overstappen op privacymunten?
Hoe zit het met het punt van Cartwright dat ransomware-actoren eenvoudigweg overgaan op privacymunten zoals Monero als Bitcoin te traceerbaar blijkt te zijn? Elliptic ziet al een "aanzienlijke stijging" in pogingen om betalingen van ransomwareslachtoffers in Monero te verkrijgen, vertelt Carlisle aan Magazine. "Dit is echt toegenomen sinds de tijd van de Colonial Pipeline-zaak, toen de implicaties van de traceerbaarheid van Bitcoin duidelijk zichtbaar waren voor andere cybercriminelen die toekeken."
Maar privacymunten kunnen ook worden getraceerd, hoewel het moeilijker is om te doen, omdat privacymunten, in tegenstelling tot Bitcoin, de adressen en transactiebedragen van gebruikers verbergen. Sommige rechtsgebieden hebben ook gekraakt op privacymunten, of overweegt dit te doen. Zo verbood Japan privacymunten in 2018. Maar er is ook een praktisch probleem. Slachtoffers van ransomware die met een betalingsdeadline worden geconfronteerd, hebben vaak moeite om beurzen te vinden die hun fiat-valuta binnen de vereiste tijd in XMR kunnen omzetten om hun afpersers te betalen en hun computers te ontgrendelen, vertelt Bieda aan Magazine. Privacymunten worden lang niet zo goed ondersteund door crypto-uitwisselingen als Bitcoin. Jevans zegt: "Bitcoin is gewoon de gemakkelijkste cryptocurrency om te verwerven", en voegt eraan toe:
"Het is onwaarschijnlijk dat ransomware-actoren ooit volledig zullen stoppen met het gebruik van Bitcoin vanwege de liquiditeit en de toegankelijkheid van Bitcoin om off-ramps te fiatteren in vergelijking met andere cryptocurrencies met verbeterde privacy."
De meeste gereguleerde beurzen bieden geen handel in Monero aan, voegt Carlisle toe. “Slachtoffers kunnen onderhandelen met de aanvallers en hen overhalen om betaling in Bitcoin te accepteren, maar aanvallers zullen dan doorgaans een vergoeding van 10% -15% vragen voor Bitcoin-betalingen boven wat ze nodig zouden hebben voor een Monero-betaling – wat hun bezorgdheid weerspiegelt dat de traceerbaarheid van Bitcoin maakt ze kwetsbaar.”
Is het verbieden van crypto een oplossing?
Onlangs heeft Lee Reiners, voormalig toezichthouder van de Federal Reserve Bank of New York, gesuggereerd in een opiniestuk van Wall Street Journal dat "Er is een eenvoudigere en effectievere manier om de ransomware-pandemie te stoppen: cryptocurrency verbieden." Hij voegde er tenslotte aan toe: "Ransomware kan niet slagen zonder cryptocurrency."
"Dit klinkt als een oplossing die nog erger zou zijn dan het probleem", zegt Benjamin Sauter, advocaat bij Kobre & Kim LLP. "Het weerspiegelt echter wel de perceptie, vooral bij veel beleidsmakers in de VS, dat cryptocurrency een toevluchtsoord biedt voor criminelen die beperkt moet worden", vertelt hij aan Magazine.
"De winstgevendheid voor de bedreigingsactoren die onze ransomware-aanvallen uitvoeren, zou zeker afnemen als cryptocurrency niet zou bestaan, aangezien het witwassen van fiat inherent duurder is", vertelt Bill Siegel, mede-oprichter en CEO van ransomwareherstelbedrijf Coveware, aan Magazine. "Deze aanvallen zouden echter nog steeds plaatsvinden."
"Ik denk niet dat het zin heeft om cryptocurrency te verbieden", voegt Neuman toe. “De bestaande wetten die in de VS in de boeken staan, vereisen dat informatie wordt verzameld over bepaalde soorten betaalinstrumenten voor transacties boven een bepaalde drempel, en we kunnen die regels ook toepassen op cryptocurrency. Als we cryptocurrency verbieden, zullen criminelen hun betalingsverzoeken gewoon naar andere instrumenten verschuiven.”
Een "kat-en-muisspel"
In de toekomst zullen ransomware-groepen moeten leven met het toenemende risico om betrapt te worden door Bitcoin te gebruiken, zegt Liska, "of beslissen of ze bereid zijn aanzienlijk lagere losgeldbetalingen te accepteren om hun anonimiteit beter te behouden."
Dit blijft "een kat-en-muisspel tussen de criminelen en wetshandhavers", voegt Cartwright toe, "en recente successen van wetshandhaving zijn meer omdat de criminelen slordig werden of fouten maakten [eerder] dan een fundamentele fout in de [criminelen'] bedrijfsmodel."
Er kan een wereldwijde inspanning nodig zijn om het tij tegen ransomware te keren. Alle landen moeten crypto-uitwisselingsplatforms reguleren, zegt Carlisle, "anders zullen aanvallers gemakkelijke wegen blijven hebben om hun opbrengsten van misdaad wit te wassen", terwijl Bieda voorspelt dat crypto zal blijven worden gebruikt voor losgeldbetalingen "totdat er strenge wereldwijde en regionale voorschriften zoals omdat er strenge straffen worden ingevoerd voor flauwe KYC.”
Koloniale pijpleiding traceren #bitcoin #losgeld naar DarkSide naar FBI inbeslagname:
▸5/8 Colonial Pipeline betaalt 75 BTC
▸5/9 DarkSide-filiaal trekt 63.75 BTC in
▸5/27 63.75 BTC verplaatst naar een andere portemonnee, privésleutel "was in het bezit van de FBI"
▸6/8 BTC in de portemonnee die in beslag is genomen door de FBI pic.twitter.com/RAebpn3P3H- elliptisch (@elliptisch) 10 June 2021
Het is ook belangrijk om ransomware in context te plaatsen. "Ransomware is gewoon de meest recente methode die criminelen gebruiken om geld te verdienen met hun exploits", zegt Neuman. "Op een gegeven moment heet het misschien geen ransomware meer, maar aanvallen op computersystemen zullen andere vormen aannemen." Sauter voegt eraan toe: "Iedereen zou winnen als er een op de industrie gebaseerde oplossing zou zijn."
Kortom, mensen hebben de neiging om de anonimiteit van Bitcoin te overschatten en de transparantie ervan te onderschatten. "Er zullen altijd slechte spelers zijn", zoals Jevans opmerkt, maar ransomware-groepen zullen zich realiseren dat cryptobetalingen traceerbaar zijn, waardoor ze kwetsbaar worden en misschien zelfs aanzetten tot het vinden van andere middelen om hun verraderlijke handel voort te zetten.
Ondertussen zullen "voortdurende vooruitgang in blockchain-analyse onderzoekers in de loop van de tijd meer en zelfs betere inzichten bieden", zegt Carlisle. En naarmate wetshandhavingsinstanties steeds bedrevener worden in het gebruik van deze analytische tools, "kunnen we in de loop van de tijd meer en grotere [ransomware]-aanvallen verwachten."
- &
- 000
- 11
- 7
- toegang
- de toegankelijkheid
- activiteiten
- Affiliate
- algoritme
- algoritmen
- Alles
- onder
- analyse
- analist
- analytics
- anonimiteit
- Activa
- auteurs
- ban
- Bank
- Strijd
- BEST
- biden
- Bill
- Bitcoin
- Bitcoin-betalingen
- bitcoin transacties
- Bitcoin Wallet
- blockchain
- Blockchain technologie
- Blog
- Boeken
- BTC
- btc transacties
- bouw
- bedrijfsdeskundigen
- bedrijfsmodel
- Californië
- vervoer
- gevallen
- Contant geld
- gevangen
- ceo
- chainalysis
- chef
- Chief Technology Officer
- CipherTrace
- Mede-oprichter
- Munten
- samenwerking
- opmerkingen
- Bedrijven
- Computer Science
- computers
- voortzetten
- landen
- Misdrijf
- misdaden
- Crimineel
- criminelen
- crypto
- crypto uitwisseling
- Crypto Exchanges
- cryptocurrencies
- cryptogeld
- valuta's
- Valuta
- cyber
- cyberaanvallen
- cybercriminelen
- gegevens
- gegevensset
- dag
- Decentralisatie
- Leveringen
- Vraag
- DEED
- Director
- ontdekt
- ontwrichten
- Economie
- ecosysteem
- effectief
- Elliptische
- uitwisseling
- Exchanges
- naar
- fbi
- Federaal
- Federal Reserve
- Federal Reserve Bank
- Fiat
- Fiat-valuta
- financieel
- Stevig
- Voornaam*
- fout
- stroom
- Focus
- volgen
- Naar voren
- bedrog
- vol
- fonds
- fondsen
- toekomst
- Gokken
- spel
- GAS
- Globaal
- overheden
- Groep
- Hackers
- hoofd
- Verbergen
- Hoge
- Homeland Security
- Hoe
- HTTPS
- reusachtig
- Identificatie
- identificeren
- Inclusief
- informatie
- Infrastructuur
- inzichten
- Intelligentie
- Onderzoekers
- IP
- IT
- Japan
- sleutel
- KYC
- Groot
- Wet
- politie
- Wetten
- leiden
- leren
- Grootboek
- Niveau
- Liquiditeit
- lokaal
- machine learning
- maken
- malware
- Maart
- Mark
- miljoen
- ML
- model
- Monero
- geld
- Het witwassen van geld
- beweging
- netwerk
- netwerken
- New York
- notie
- bieden
- Aanbod
- Officier
- Olie
- Okay
- Operations
- Advies
- bestellen
- Overige
- eigenaar
- pandemisch
- Papier
- parkeren
- partnerships
- Betaal
- betaling
- betalingen
- Mensen
- telefoons
- platforms
- beleidsmaatregelen
- bezit
- voorspelling
- druk
- privacy
- Privacy munten
- privaat
- private Key
- Profielen
- winstgevendheid
- bewijst
- publiek
- Losgeld
- ransomware
- Ransomware-aanvallen
- Realiteit
- Herstellen
- na een training
- reglement
- verslag
- onderzoek
- Reserve Bank
- restaurant
- Risico
- reglement
- Rusland
- Wetenschap
- veiligheid
- in beslag genomen
- zin
- Diensten
- reeks
- verschuiving
- Signs
- Zilver
- So
- Software
- Zuidelijk
- Staten
- Blog
- straat
- Studie
- geslaagd
- leveren
- toeleveringsketen
- ondersteunde
- toezicht
- Systems
- tactiek
- Technologies
- Technologie
- vertelt
- proef
- het denken
- bedreigingsactoren
- Tij
- BINDEN
- niet de tijd of
- Traceerbaarheid
- spoor
- Tracking
- handel
- Handel
- Trainingen
- transactie
- Transacties
- Transparantie
- behandelen
- X
- ons
- United
- Verenigde Staten
- universiteit-
- voertuig
- Bekijk
- zichtbaarheid
- Vladimir Poetin
- Kwetsbaar
- Wall Street
- Wall Street Journal
- Portemonnee
- oorlog
- konijnenberg
- week
- per week
- winnen
- binnen
- woorden
- XMR
