Registrul Bitcoin ca armă secretă în războiul împotriva ransomware-ului

Ransomware, software rău intenționat care criptează computerele și le ține „blocate” până când se plătește o răscumpărare, este amenințarea cibernetică cu cea mai rapidă creștere din lume, potrivit Coinfirm. Atacurile recente asupra infrastructurii naționale critice, cum ar fi incursiunea Colonial Pipeline, care a paralizat livrările de petrol și gaze timp de o săptămână de-a lungul coastei de est a SUA, au declanșat alarme. Plățile de răscumpărare se fac aproape întotdeauna în Bitcoin sau alte criptomonede. 

Dar, în timp ce mulți au fost zguduiți de atacul lui May pe conducta colonială – administrația Biden a emis noi reglementări privind conductele în urma acesteia – relativ puțini sunt conștienți de actul final al acelei drame: folosind analiza blockchain, FBI a reușit să urma fluxul de fonduri de plăți de răscumpărare și recuperează aproximativ 85% din Bitcoin plătit grupului de ransomware DarkSide. 

De fapt, analiza blockchain, care poate fi îmbunătățită și mai mult cu algoritmi de învățare automată, este o nouă tehnică promițătoare în lupta împotriva ransomware-ului. Este nevoie de unele dintre atributele de bază ale cripto-ului - de exemplu, descentralizarea și transparența - și utilizează acele proprietăți împotriva malware malware. 

În timp ce detractorii cripto-ului tind să sublinieze pseudonimul acestuia – și atractivitatea pentru elementele criminale din acest motiv – ei tind să treacă cu vederea vizibilitatea relativă a tranzacțiilor BTC. Registrul Bitcoin este actualizat și distribuit la zeci de mii de computere la nivel global în timp real în fiecare zi, iar tranzacțiile sale sunt vizibile pentru toți. Analizând fluxurile, specialiștii criminalistici pot deseori identifica Activitate suspicioasa. Acesta s-ar putea dovedi a fi călcâiul lui Ahile al rachetei ransomware.

Un mijloc subutilizat

„Registrul blockchain pe care sunt înregistrate tranzacțiile Bitcoin este un instrument criminalistic subutilizat care poate fi folosit de agențiile de aplicare a legii și de alții pentru a identifica și perturba activități ilicite.” Michael Morrell, fost director interimar al Agenției Centrale de Informații din SUA, a declarat pe un blog recent, adăugând:

„Pune pur și simplu, analiza blockchain este un instrument extrem de eficient de luptă împotriva criminalității și de colectare de informații.[…] Un expert în ecosistemul criptomonedei a numit tehnologia blockchain „un avantaj pentru supraveghere”. 

În acest sens, trei cercetători de la Universitatea Columbia, recent publicat o lucrare, „Identificarea actorilor ransomware în rețeaua Bitcoin”, care descrie modul în care au putut folosi algoritmi de învățare automată grafică și analiza blockchain pentru a identifica atacatorii ransomware cu „precizie de predicție de 85% pe setul de date de testare”.

Cei din prima linie a luptei pentru ransomware văd promisiuni în analiza blockchain. „Deși la început poate părea că criptomoneda permite ransomware, criptomoneda este de fapt esențială în combaterea acesteia”, spune Gurvais Grigg, director global de tehnologie pentru sectorul public la Chainalysis, pentru Magazine, adăugând:

„Cu instrumentele potrivite, forțele de ordine pot urmări banii din blockchain pentru a înțelege mai bine și a perturba operațiunile și lanțul de aprovizionare al organizației. Aceasta este o abordare de succes dovedită, așa cum am văzut în „eliminarea” din ianuarie a tulpinii de ransomware NetWalker.”

Dacă doar analiza blockchain este suficientă pentru a împiedica incursiunile ransomware sau dacă trebuie să fie asociată cu alte tactici, cum ar fi exercitarea presiunii politice/economice asupra țărilor străine care tolerează grupurile de ransomware, este o altă întrebare.

Demascarea criminalilor?

Clifford Neuman, profesor asociat de practică informatică la Universitatea din California de Sud, consideră că analiza blockchain este un instrument criminalistic subutilizat. „Mulți oameni, inclusiv criminali, presupun că Bitcoin este anonim. De fapt, este departe de a fi așa, deoarece fluxul de fonduri este mai vizibil în blockchain-ul „public” decât în ​​aproape orice alte tipuri de tranzacții.” El adaugă: „Smecheria este să legați punctele finale de indivizi, iar instrumentele de analiză blockchain pot fi uneori folosite pentru a face această legătură.”

Un mijloc valid pentru a demasca atacatorii ransomware? „Da, absolut”, a spus Dave Jevans, CEO al companiei de cripto-intelligence CipherTrace, pentru revista. „Folosind o analiză eficientă a blockchain-ului, software de inteligență pentru criptomonede” – felul pe care îl produce firma sa – „pentru a urmări unde își mută fondurile actorii de ransomware poate conduce anchetatorii la adevăratele lor identități, în timp ce încearcă să-și dezlipească cripto-ul la fiat.” 

David Carlisle, director pentru politici și reglementări la firma de analiză Elliptic, a declarat pentru Magazine: „Analiza blockchain este deja o tehnică valoroasă dovedită pentru a permite autorităților de aplicare a legii să perturbe activitățile acestor rețele, așa cum a arătat în mod clar cazul Colonial Pipeline”.

În câteva zile de la plata răscumpărării din 8 mai de către Colonial Pipeline, Elliptic a reușit să identifice portofelul Bitcoin care a primit plata. În plus, „[portofelul] a primit plăți Bitcoin din martie în valoare totală de 17.5 milioane de dolari.” povestește firma de avocatură Kelley Drye & Warren LLP. Eliptic a fost ajutat de faptul că răufăcătorii nu folosiseră nici un „mixere” pentru a le ascunde și mai mult urmele. Carlisle adaugă: 

„Transparența de bază a Bitcoin și a altor active cripto înseamnă că forțele de ordine pot obține adesea un nivel de perspectivă asupra activității de spălare a banilor care nu ar fi posibil cu monedele fiat.”

Un impuls din învățarea automată?

Învățarea automată (ML) este una dintre acele tehnologii emergente, cum ar fi blockchain-ul, pentru care cazuri noi de utilizare par să fie descoperite săptămânal. Poate ML să ajute și în războiul împotriva ransomware-ului?

„Absolut”, a spus Allan Liska, analist senior de informații la Recorded Future, pentru revista, adăugând în continuare: „Având în vedere numărul mare de tranzacții rău intenționate care au loc la un moment dat și sofisticarea tot mai mare a unor grupuri de ransomware, capabilitățile de spălare a banilor. manual analiza a devenit mai puțin eficient – ​​iar învățarea automată este necesară pentru a urmări în mod eficient semnele indicatoare ale tranzacțiilor rău intenționate.”

„Învățarea automată este foarte promițătoare în combaterea crimelor”, informează Roman Bieda, șeful investigațiilor privind fraudele la Coinfirm, Magazine, dar necesită o cantitate imensă de date pentru a fi eficientă. Este relativ ușor să achiziționați adrese Bitcoin, care sunt disponibile în milioane, dar un set de date pe baza căruia un model de învățare poate fi antrenat și testat necesită, de asemenea, un anumit număr de adrese Bitcoin „frauduloase”, adică actori confirmați de ransomware. „În caz contrar, modelul fie va marca o mulțime de fals pozitive, fie va omite datele frauduloase ca un procent minor”, ​​spune Bieda.

Să presupunem că doriți să construiți un model care să scoată fotografii cu câini dintr-un tez de fotografii cu pisici, dar aveți un set de date de antrenament cu 1,000 de fotografii cu pisici și o singură fotografie de câine. Un model ML „ar învăţa că este în regulă să tratezi toate fotografiile ca fotografii cu pisici, deoarece marja de eroare este [doar] 0.001”, notează Bieda. Cu alte cuvinte, algoritmul ar ghici „pisica” tot timpul, ceea ce ar face modelul inutil, desigur, chiar dacă a obținut un punctaj ridicat în ceea ce privește precizia generală.  

În studiul Universității Columbia, cercetătorii au folosit 400 de milioane de tranzacții Bitcoin și aproape 40 de milioane de adrese Bitcoin, dar doar 143 dintre acestea au fost adrese confirmate de ransomware. 

„Arătăm că subgrafele foarte locale ale unor astfel de actori cunoscuți sunt suficiente pentru a face diferența între actorii ransomware, aleatori și de jocuri de noroc cu o acuratețe de predicție de 85% pe setul de date de testare”, au raportat autorii, adăugând că „Ar trebui să fie posibilă îmbunătățiri suplimentare prin îmbunătățirea grupării. algoritmi.” 

Ei au adăugat, totuși, că „Obținerea mai multor date care sunt mai fiabile ar îmbunătăți acuratețea”, făcând modelul mai „sensibil” și evitând tipul de problemă descrisă mai sus de Bieda, probabil. 

În acest sens, Departamentul de Securitate Internă al Statelor Unite a emis o directivă în urma atacului Colonial Pipeline prin care companiile de conducte trebuie să raporteze atacurile cibernetice. Raportarea atacurilor a fost opțională înainte. Mandatele ca acestea vor ajuta, fără îndoială, la construirea unui set de date publice de adrese „frauduloase” necesare pentru o analiză eficientă a blockchain-ului. Carlisle adaugă: „Parteneriatele public-private trebuie să se concentreze pe partajarea informațiilor financiare legate de atacurile ransomware”.

Multe analize blockchain se bazează pe ideea că atacatorii pot fi demascați după ce are loc un atac. Dar agențiile de aplicare a legii, și în special victimele ransomware, ar prefera ca atacurile să nu aibă loc în primul rând. Potrivit lui Jevans, analiza blockchain poate, de asemenea, permite agențiilor de aplicare a legii să acționeze preventiv. El spune pentru revista:

„În timp ce algoritmii de clustering blockchain necesită, de obicei, ca cineva să efectueze o plată la o adresă pentru a urmări fondurile și a identifica proprietarul, instrumente avansate precum CipherTrace pot produce informații utile și asupra adreselor care încă nu au primit fonduri, cum ar fi datele IP. care poate ajuta anchetatorii.”

Necesar dar nu suficient?

Unii se întreabă, totuși, dacă analiza blockchain în sine este suficientă pentru a elimina ransomware-ul. „Analiza blockchain este un instrument important în setul de instrumente al autorităților de aplicare a legii, dar nu există un singur glonț de argint pentru a rezolva problema ransomware”, spune Grigg. 

Liska adaugă: „Chiar și cele mai bune instrumente de cercetare și identificare nu sunt eficiente decât dacă guvernele sunt dispuse să acceseze. Oprirea tranzacțiilor cu ransomware va necesita cooperarea între entități private și guverne.”

Multe atacuri ransomware au originea la granițele Rusiei, potrivit Coinfirm, așa că unii se întreabă dacă Vladimir Putin poate fi presat să închidă operațiunile acestor grupuri. „Cazurile din trecut arată că nu se poate face mare lucru împotriva țărilor legate de atacurile cibernetice, chiar dacă există indicatori foarte puternici că hackerii sunt legați de serviciile secrete”, a spus Bieda pentru revista. 

Alții se întreabă dacă analiza blockchain poate afecta problema programelor malware. „Este mult prea devreme să anulăm criptomoneda ca vehicul pentru ransomware”, spune Edward Cartwright, profesor de economie la Universitatea De Montfort, pentru revista. „Deși în ultimul timp au existat câteva „știri bune”, realitatea este că infractorii de ransomware încă folosesc în mod obișnuit Bitcoin ca modalitate cea mai ușoară și mai anonimă de a extrage răscumpărări.”

Mai mult, chiar dacă Bitcoin devine prea radioactiv pentru răufăcători din cauza trasabilității sale – „un mare dacă”, în opinia lui Cartwright – „infractorii se pot muta pur și simplu în monede care sunt complet anonime și de neidentificat”, cum ar fi Monero și alte monede de confidențialitate, spune el.

„Trebuie într-adevăr să vedem o colaborare sporită între sectorul privat și cel public pentru a construi profiluri complete ale acestor grupuri de ransomware”, spune Jevans. „Partajarea informațiilor în aceste situații poate fi un glonț de argint.” 

„Una dintre provocări este că grupurile de ransomware apelează la metode offline pentru a muta Bitcoin”, spune Liska. „Literal, doi oameni se întâlnesc într-o parcare sau într-un restaurant cu telefoanele și servieta pline cu numerar.” Aceste tipuri de tranzacții sunt mult mai greu de urmărit, spune el pentru Magazine, „dar încă nu sunt imposibile cu tehnici de urmărire mai avansate”.

Dar se vor trece răufăcătorii la monede de confidențialitate?

Dar ideea lui Cartwright că actorii de ransomware vor trece pur și simplu la monede de confidențialitate precum Monero dacă Bitcoin se dovedește prea trasabil? Elliptic înregistrează deja „o creștere semnificativă” a încercărilor de a obține plăți de la victimele ransomware-ului din Monero, spune Carlisle pentru Magazine. „Acest lucru a crescut cu adevărat de pe vremea cazului Colonial Pipeline, când implicațiile trasabilității Bitcoin au fost vizibile clar pentru orice alți criminali cibernetici care urmăreau.”

Dar și monedele de confidențialitate pot fi urmărite, deși este mai dificil de făcut, deoarece, spre deosebire de Bitcoin, monedele de confidențialitate ascund adresele utilizatorilor și sumele tranzacțiilor. Și unele jurisdicții au au luat măsuri împotriva monedelor de confidențialitate, sau se gândesc să o facă. Japonia a interzis monedele private în 2018, de exemplu. Dar există și o problemă practică. Victimele ransomware-ului care se confruntă cu un termen limită de plată întâmpină adesea probleme în a găsi schimburi care își vor converti moneda fiat în XMR în perioada de timp necesară pentru a-și plăti extorsionatorii și a-și debloca computerele, spune Bieda pentru revista. Monedele de confidențialitate nu sunt aproape la fel de bine susținute de schimburile cripto ca Bitcoin. Jevans spune că „Bitcoinul este pur și simplu cea mai ușor criptomonedă de achiziționat”, adăugând:

„Este puțin probabil ca actorii de ransomware să înceteze complet să mai folosească Bitcoin din cauza lichidității sale și a accesibilității Bitcoin la rampe de ieșire, în comparație cu alte criptomonede îmbunătățite pentru confidențialitate.”

Majoritatea burselor reglementate nu oferă tranzacții cu Monero, adaugă Carlisle. „Victimele pot negocia cu atacatorii și îi pot convinge să accepte plata în Bitcoin, dar atacatorii vor cere apoi o taxă de 10%-15% pentru plățile Bitcoin peste ceea ce ar cere pentru o plată Monero – ceea ce reflectă îngrijorarea lor cu privire la trasabilitatea Bitcoin. îi lasă vulnerabili.” 

Este interzicerea criptografiei o soluție?

Recent, fostul supraveghetor al Băncii Rezervei Federale din New York Lee Reiners sugerat într-un articol de opinie Wall Street Journal că „Există o modalitate mai simplă și mai eficientă de a opri pandemia de ransomware: interzicerea criptomonedei”. La urma urmei, a adăugat el: „Ransomware-ul nu poate reuși fără criptomonede”. 

„Aceasta sună ca o soluție care ar fi chiar mai rea decât problema”, comentează Benjamin Sauter, avocat la Kobre & Kim LLP. „Cu toate acestea, reflectă percepția, în special în rândul multor factori de decizie din SUA, că criptomoneda oferă un refugiu pentru criminali care trebuie restricționat”, a spus el pentru revista. 

„Profitabilitatea actorilor de amenințări care poartă atacurile noastre ransomware ar scădea cu siguranță dacă criptomoneda nu ar exista, deoarece spălarea fiat-ului este în mod inerent mai costisitoare”, a declarat Bill Siegel, co-fondator și CEO al companiei de recuperare a ransomware Coveware, pentru revista. „Aceste atacuri ar avea loc totuși.”

„Nu cred că are sens să interzicem criptomoneda”, adaugă Neuman. „Legile existente în contabilitate în SUA impun colectarea de informații privind anumite tipuri de instrumente de plată pentru tranzacțiile peste un anumit prag și putem aplica acele reguli și criptomonedei. Dacă interzicem criptomoneda, infractorii își vor muta pur și simplu cererile de plată către alte instrumente.”

Un „joc cu pisica și șoarecele”

În continuare, grupurile de ransomware vor trebui să trăiască cu riscul tot mai mare de a fi prinși prin utilizarea Bitcoin, spune Liska, „sau să decidă dacă sunt dispuși să accepte plăți de răscumpărare semnificativ mai mici pentru a-și păstra mai bine anonimatul”.  

Acesta rămâne „un joc de pisică și șoarece între criminali și forțele de ordine”, adaugă Cartwright, „și succesele recente ale forțelor de ordine sunt mai mult din cauza faptului că infractorii au devenit neglijenți sau au făcut greșeli [mai degrabă] decât un defect fundamental al [infractorilor] model de afaceri."

Este posibil să fie necesar un efort global pentru a schimba curentul cu ransomware. Toate țările trebuie să reglementeze platformele de schimb criptografic, spune Carlisle, „altfel atacatorii vor continua să aibă căi ușoare pentru a-și spăla veniturile din infracțiuni”, în timp ce Bieda prezice că cripto va continua să fie folosit pentru plăți de răscumpărare „până la reglementări globale și regionale stricte, cum ar fi pe măsură ce sunt introduse sancțiuni dure pentru KYC lipsit de strălucire.”

Urmărirea conductei coloniale #bitcoin #răscumpărare la DarkSide la confiscarea FBI:
▸5/8 Colonial Pipeline plătește 75 BTC
▸5/9 Afiliatul DarkSide retrage 63.75 BTC
▸5/27 63.75 BTC mutat într-un alt portofel, cheia privată „era în posesia FBI”
▸6/8 BTC în portofelul confiscat de FBI pic.twitter.com/RAebpn3P3H

- eliptic (@elliptic) 10 Iunie, 2021

Este important să puneți și ransomware-ul în context. „Ransomware-ul este pur și simplu cea mai recentă metodă folosită de criminali pentru a-și monetiza exploiturile”, spune Neuman. „La un moment dat ar putea înceta să mai fie numit ransomware, dar atacurile asupra sistemelor informatice vor lua alte forme.” Sauter adaugă: „Toată lumea ar câștiga dacă ar exista o soluție bazată pe industrie.”

În concluzie, oamenii tind să supraestimeze anonimatul Bitcoin și să subestimeze transparența acestuia. „Vor fi întotdeauna actori răi”, după cum observă Jevans, dar grupurile de ransomware își vor da seama că plățile cripto sunt urmăribile, lăsându-i vulnerabili și poate chiar ii incită să găsească alte mijloace prin care să își desfășoare comerțul perfid.

Între timp, „Avansările continue în analiza blockchain vor oferi investigatorilor mai multe și chiar mai bune perspective în timp”, spune Carlisle. Și pe măsură ce agențiile de aplicare a legii devin din ce în ce mai abil în utilizarea acestor instrumente analitice, „ne putem aștepta să vedem mai multe și mai mari confiscări [ransomware] în timp.”

Sursa: https://cointelegraph.com/magazine/2021/09/16/bitcoin-ledger-as-a-secret-weapon-in-war-against-ransomware