Sổ cái bitcoin như một vũ khí bí mật trong cuộc chiến chống lại phần mềm tống tiền

Ransomware, phần mềm độc hại mã hóa máy tính và giữ chúng "khóa" cho đến khi trả tiền chuộc, là mối đe dọa mạng phát triển nhanh nhất thế giới, theo Coinfirm. Các cuộc tấn công gần đây vào cơ sở hạ tầng quan trọng của quốc gia, như vụ xâm nhập Đường ống Thuộc địa làm tê liệt việc cung cấp dầu và khí đốt trong một tuần dọc theo Bờ Đông Hoa Kỳ, đã đặt ra báo động. Các khoản thanh toán tiền chuộc hầu như luôn được thực hiện bằng Bitcoin hoặc các loại tiền điện tử khác. 

Nhưng trong khi nhiều người bị chấn động bởi cuộc tấn công Đường ống Thuộc địa của May - chính quyền Biden đã ban hành các quy định về đường ống mới sau đó - tương đối ít người biết về hành động cuối cùng của bộ phim đó: Sử dụng phân tích blockchain, FBI đã có thể theo quỹ thanh toán tiền chuộc chảy và thu hồi khoảng 85% số Bitcoin đã trả cho nhóm ransomware DarkSide. 

Trên thực tế, phân tích blockchain, có thể được nâng cao hơn nữa với các thuật toán học máy, là một kỹ thuật mới đầy hứa hẹn trong cuộc chiến chống lại ransomware. Nó sử dụng một số thuộc tính cốt lõi của tiền điện tử - ví dụ: phân quyền và minh bạch - và sử dụng các thuộc tính đó chống lại kẻ giả mạo phần mềm độc hại. 

Trong khi những người gièm pha tiền điện tử có xu hướng nhấn mạnh tính giả danh của nó - và sự hấp dẫn đối với các yếu tố tội phạm vì lý do đó - họ có xu hướng bỏ qua khả năng hiển thị tương đối của các giao dịch BTC. Sổ cái Bitcoin được cập nhật và phân phối đến hàng chục nghìn máy tính trên toàn cầu theo thời gian thực mỗi ngày và các giao dịch của nó ở đó cho tất cả mọi người xem. Bằng cách phân tích các luồng, các chuyên gia pháp y thường có thể xác định hoạt động đáng ngờ. Điều này có thể được chứng minh là gót chân Achilles của vợt ransomware.

Một phương tiện không được sử dụng

“Sổ cái blockchain ghi lại các giao dịch Bitcoin là một công cụ pháp y chưa được sử dụng đầy đủ có thể được sử dụng bởi các cơ quan thực thi pháp luật và những người khác để xác định và phá vỡ các hoạt động bất hợp pháp,” Michael Morrell, cựu quyền giám đốc Cơ quan Tình báo Trung ương Hoa Kỳ, đã tuyên bố trong một blog gần đây, nói thêm:

“Nói một cách đơn giản, phân tích blockchain là một công cụ chống tội phạm và thu thập thông tin tình báo có hiệu quả cao. […] Một chuyên gia về hệ sinh thái tiền điện tử gọi công nghệ blockchain là 'lợi ích cho việc giám sát.' 

Cùng với những dòng này, ba nhà nghiên cứu của Đại học Columbia gần đây công bố một bài báo, "Xác định các tác nhân ransomware trong mạng Bitcoin", mô tả cách họ có thể sử dụng các thuật toán máy học đồ thị và phân tích blockchain để xác định những kẻ tấn công ransomware với "độ chính xác dự đoán 85% trên tập dữ liệu thử nghiệm."

Những người ở tuyến đầu của cuộc đấu tranh ransomware nhìn thấy hứa hẹn trong phân tích blockchain. “Mặc dù thoạt đầu có vẻ như tiền điện tử cho phép ransomware, nhưng tiền điện tử thực sự là công cụ để chống lại nó,” Gurvais Grigg, giám đốc công nghệ khu vực công toàn cầu tại Chainalysis, nói với Tạp chí, nói thêm:

“Với các công cụ phù hợp, cơ quan thực thi pháp luật có thể theo dõi tiền trên blockchain để hiểu rõ hơn và làm gián đoạn hoạt động của tổ chức và chuỗi cung ứng. Đây là một cách tiếp cận thành công đã được chứng minh như chúng ta đã thấy trong lần 'gỡ bỏ' dòng ransomware NetWalker vào tháng Giêng. "

Liệu phân tích blockchain một mình có đủ để ngăn chặn sự xâm nhập của ransomware hay không hay liệu nó có cần phải kết hợp với các chiến thuật khác, như gây áp lực chính trị / kinh tế lên các quốc gia nước ngoài dung túng cho các nhóm ransomware hay không, là một câu hỏi khác.

Vạch mặt tội phạm?

Clifford Neuman, phó giáo sư thực hành khoa học máy tính tại Đại học Nam California, tin rằng phân tích blockchain là một công cụ pháp y chưa được sử dụng đầy đủ. “Nhiều người, bao gồm cả tội phạm, cho rằng Bitcoin là ẩn danh. Trên thực tế, còn lâu mới có thể thấy được dòng tiền trên blockchain 'công khai' hơn là trong hầu hết các loại giao dịch khác. " Anh ấy cho biết thêm: “Bí quyết là ràng buộc các điểm cuối với các cá nhân và các công cụ phân tích blockchain đôi khi có thể được sử dụng để thực hiện liên kết này”.

Một phương tiện hợp lệ để vạch mặt những kẻ tấn công ransomware? “Đúng vậy,” Dave Jevans, Giám đốc điều hành của công ty tình báo tiền điện tử CipherTrace, nói với Magazine. “Sử dụng phân tích blockchain hiệu quả, phần mềm thông minh tiền điện tử” - loại mà công ty của anh ấy sản xuất - “để theo dõi nơi mà các tác nhân ransomware đang chuyển tiền của họ có thể dẫn các nhà điều tra đến danh tính thực của họ khi họ cố gắng chuyển tiền điện tử của mình thành fiat.” 

David Carlisle, giám đốc các vấn đề chính sách và quy định tại công ty phân tích Elliptic, nói với Magazine: “Phân tích chuỗi khối đã là một kỹ thuật có giá trị đã được chứng minh để cho phép thực thi pháp luật làm gián đoạn hoạt động của các mạng này, như trường hợp Đường ống Thuộc địa đã làm rõ”.

Trong vòng vài ngày kể từ ngày 8 tháng 17.5 thanh toán tiền chuộc bằng Colonial Pipeline, Elliptic đã có thể xác định ví Bitcoin đã nhận khoản thanh toán. Hơn nữa, “Nó [ví] đã nhận được các khoản thanh toán bằng Bitcoin kể từ tháng XNUMX với tổng trị giá XNUMX triệu đô la,” kể lại công ty luật Kelley Drye & Warren LLP. Elliptic đã được giúp đỡ bởi thực tế là các nhà sản xuất nam giới đã không sử dụng "máy trộn" để che khuất hơn nữa dấu vết của họ. Carlisle cho biết thêm: 

“Tính minh bạch cơ bản của Bitcoin và các tài sản tiền điện tử khác có nghĩa là cơ quan thực thi pháp luật thường có thể thu thập được mức độ hiểu biết sâu sắc về hoạt động rửa tiền mà đối với các loại tiền pháp định không thể thực hiện được”.

Một sự thúc đẩy từ học máy?

Học máy (ML) là một trong những công nghệ mới nổi, giống như blockchain, trong đó các trường hợp sử dụng mới dường như được khám phá hàng tuần. ML có thể hỗ trợ quá nhiều trong cuộc chiến chống lại ransomware không?

Allan Liska, một nhà phân tích tình báo cấp cao tại Recorded Future, nói với Magazine rằng: “Hoàn toàn có thể xảy ra,” Allan Liska, một nhà phân tích tình báo cấp cao tại Recorded Future, nói với Magazine rằng: “Với số lượng lớn các giao dịch độc hại xảy ra tại bất kỳ thời điểm nào và sự tinh vi ngày càng tăng của một số nhóm ransomware, khả năng rửa tiền nhãn hiệu phân tích đã trở thành ít hiệu quả - và cần phải có máy học để theo dõi hiệu quả các dấu hiệu nhận biết về các giao dịch độc hại. "

“Machine Learning rất hứa hẹn trong việc chống lại tội phạm”, Roman Bieda, người đứng đầu cuộc điều tra gian lận tại Coinfirm, nói với Magazine, nhưng nó đòi hỏi một lượng lớn dữ liệu để có hiệu quả. Tương đối dễ dàng để có được các địa chỉ Bitcoin, có hàng triệu địa chỉ, nhưng tập dữ liệu mà mô hình học tập có thể được đào tạo và thử nghiệm cũng yêu cầu một số lượng địa chỉ Bitcoin “lừa đảo” nhất định - tức là các tác nhân ransomware đã được xác nhận. Bieda cho biết: “Nếu không, mô hình sẽ đánh dấu rất nhiều kết quả dương tính giả hoặc sẽ bỏ qua dữ liệu gian lận dưới dạng một tỷ lệ phần trăm nhỏ”.

Giả sử bạn muốn xây dựng một mô hình sẽ lấy ảnh chó từ một loạt ảnh mèo, nhưng bạn có một tập dữ liệu huấn luyện với 1,000 ảnh mèo và chỉ một ảnh chó. Một mô hình ML "sẽ học rằng có thể coi tất cả các bức ảnh là ảnh mèo vì sai số chỉ là [chỉ] 0.001, ”Bieda lưu ý. Nói cách khác, thuật toán sẽ chỉ đoán “mèo” mọi lúc, điều này sẽ khiến mô hình trở nên vô dụng, tất nhiên, ngay cả khi nó đạt điểm cao về độ chính xác tổng thể.  

Trong nghiên cứu của Đại học Columbia, các nhà nghiên cứu đã sử dụng 400 triệu giao dịch Bitcoin và gần 40 triệu địa chỉ Bitcoin, nhưng chỉ 143 trong số này là địa chỉ ransomware được xác nhận. 

Các tác giả báo cáo: “Chúng tôi cho thấy rằng các tiểu đồ cục bộ về các tác nhân đã biết như vậy đủ để phân biệt giữa ransomware, ngẫu nhiên và cờ bạc với độ chính xác dự đoán 85% trên tập dữ liệu thử nghiệm,” các tác giả báo cáo và nói thêm rằng “Cần cải thiện hơn nữa bằng cách cải thiện phân nhóm thuật toán. ” 

Tuy nhiên, họ nói thêm rằng “Nhận được nhiều dữ liệu đáng tin cậy hơn sẽ cải thiện độ chính xác,” làm cho mô hình trở nên “nhạy cảm” hơn và tránh được loại vấn đề được Bieda mô tả ở trên, có lẽ là. 

Cùng với đó, Bộ An ninh Nội địa Hoa Kỳ đã ban hành chỉ thị sau cuộc tấn công Đường ống Thuộc địa yêu cầu các công ty đường ống báo cáo các cuộc tấn công mạng. Báo cáo các cuộc tấn công là tùy chọn trước đây. Các nhiệm vụ như thế này được cho là sẽ giúp xây dựng một tập dữ liệu công khai về các địa chỉ “gian lận” cần thiết để phân tích blockchain hiệu quả. Carlisle nói thêm: “Quan hệ đối tác công tư cần tập trung vào việc chia sẻ thông tin tài chính liên quan đến các cuộc tấn công ransomware.”

Nhiều phân tích blockchain dựa trên khái niệm rằng những kẻ tấn công có thể bị lộ mặt sau khi một cuộc tấn công diễn ra. Nhưng các cơ quan thực thi pháp luật, và đặc biệt là các nạn nhân của ransomware, muốn rằng các vụ tấn công không xảy ra ngay từ đầu. Theo Jevans, phân tích blockchain cũng có thể cho phép các cơ quan thực thi hành động trước. Anh ấy nói với Tạp chí:

“Trong khi các thuật toán phân cụm blockchain thường yêu cầu ai đó thanh toán vào một địa chỉ để theo dõi số tiền và xác định chủ sở hữu, các công cụ nâng cao như CipherTrace có thể tạo ra thông tin hữu ích về các địa chỉ chưa nhận tiền, chẳng hạn như dữ liệu IP điều đó có thể hỗ trợ các nhà điều tra ”.

Cần thiết nhưng chưa đủ?

Tuy nhiên, một số người đặt câu hỏi rằng liệu bản thân phân tích blockchain có đủ để loại bỏ ransomware hay không. Grigg nói: “Phân tích chuỗi khối là một công cụ quan trọng trong bộ công cụ của cơ quan thực thi pháp luật, nhưng không có viên đạn bạc nào để giải quyết vấn đề ransomware. 

Liska cho biết thêm: “Ngay cả những công cụ xác định và nghiên cứu tốt nhất cũng không hiệu quả trừ khi các chính phủ sẵn sàng tiếp cận. Việc dừng các giao dịch ransomware sẽ đòi hỏi sự hợp tác giữa các tổ chức tư nhân và chính phủ ”.

Theo Coinfirm, nhiều cuộc tấn công bằng mã độc tống tiền bắt nguồn từ biên giới nước Nga, vì vậy một số người đặt câu hỏi liệu Vladimir Putin có thể bị áp lực để đóng cửa các hoạt động của các nhóm đó hay không. Bieda nói với Magazine: “Các trường hợp trong quá khứ cho thấy không thể thực hiện được nhiều việc chống lại các quốc gia liên quan đến các cuộc tấn công mạng, ngay cả khi có những dấu hiệu rất rõ ràng cho thấy các tin tặc có liên quan đến các cơ quan mật vụ. 

Những người khác đặt câu hỏi liệu phân tích blockchain có thể tạo ra bất kỳ vết lõm nào trong vấn đề phần mềm độc hại hay không. Edward Cartwright, giáo sư kinh tế tại Đại học De ​​Montfort cho biết: “Còn quá sớm để loại bỏ tiền điện tử như một phương tiện cho ransomware. “Mặc dù đã có một vài câu chuyện 'tin tốt' vào cuối năm nay, nhưng thực tế là bọn tội phạm ransomware vẫn thường xuyên sử dụng Bitcoin như một cách dễ dàng nhất và ẩn danh nhất để lấy tiền chuộc."

Hơn nữa, ngay cả khi Bitcoin trở nên quá phóng xạ đối với những kẻ giả mạo vì khả năng truy xuất nguồn gốc của nó - “một điều lớn nếu”, theo quan điểm của Cartwright - “bọn tội phạm có thể đơn giản chuyển sang các loại tiền tệ hoàn toàn ẩn danh và không thể truy xuất được”, như Monero và các đồng tiền riêng tư khác, ông nói.

Jevans nói: “Chúng tôi thực sự cần thấy sự hợp tác ngày càng tăng giữa khu vực tư nhân và nhà nước để xây dựng hồ sơ đầy đủ của các nhóm ransomware này. "Chia sẻ thông tin trong những tình huống này có thể là viên đạn bạc." 

Liska cho biết: “Một trong những thách thức là các nhóm ransomware đang chuyển sang các phương pháp ngoại tuyến để di chuyển Bitcoin. “Theo nghĩa đen, hai người gặp nhau trong một bãi đậu xe hoặc nhà hàng với điện thoại và chiếc cặp đựng đầy tiền mặt của họ.” Ông nói với Magazine rằng những loại giao dịch này khó theo dõi hơn nhiều, “nhưng vẫn không phải là không thể với các kỹ thuật theo dõi tiên tiến hơn”.

Nhưng liệu những kẻ xấu có chuyển sang đồng tiền riêng tư không?

Còn về quan điểm của Cartwright rằng các tác nhân ransomware sẽ đơn giản chuyển sang các đồng tiền riêng tư như Monero nếu Bitcoin chứng minh được quá nhiều khả năng theo dõi? Carlisle nói với Magazine rằng Elliptic đã chứng kiến ​​“một sự gia tăng đáng kể” trong những nỗ lực để nhận được khoản thanh toán từ các nạn nhân của ransomware ở Monero. “Điều này đã thực sự tăng lên kể từ thời điểm xảy ra vụ án Colonial Pipeline, khi ý nghĩa của việc truy xuất nguồn gốc của Bitcoin được hiển thị rõ ràng cho bất kỳ tội phạm mạng nào khác theo dõi.”

Nhưng đồng tiền riêng tư cũng có thể được theo dõi, mặc dù điều này khó thực hiện hơn vì không giống như Bitcoin, đồng tiền bảo mật ẩn địa chỉ và số tiền giao dịch của người dùng. Một số khu vực pháp lý cũng có bẻ khóa tiền riêng tư, hoặc đang nghĩ đến việc làm như vậy. Chẳng hạn, Nhật Bản đã cấm các đồng tiền riêng tư vào năm 2018. Nhưng cũng có một vấn đề thực tế. Các nạn nhân của ransomware đối mặt với thời hạn thanh toán thường gặp khó khăn khi tìm kiếm các sàn giao dịch sẽ chuyển đổi tiền tệ fiat của họ thành XMR trong khoảng thời gian cần thiết để thanh toán cho những kẻ tống tiền và mở khóa máy tính của họ, Bieda nói với Magazine. Các đồng tiền bảo mật gần như không được các sàn giao dịch tiền điện tử hỗ trợ tốt như Bitcoin. Jevans nói “Bitcoin chỉ đơn giản là tiền điện tử dễ mua nhất”, nói thêm:

“Không có khả năng các tác nhân ransomware sẽ ngừng hoàn toàn sử dụng Bitcoin vì tính thanh khoản của nó và khả năng tiếp cận của Bitcoin đối với các khoản tiền chênh lệch so với các loại tiền điện tử được tăng cường quyền riêng tư khác.”

Carlisle cho biết thêm, hầu hết các sàn giao dịch được quản lý đều không cung cấp giao dịch Monero. “Nạn nhân có thể thương lượng với những kẻ tấn công và thuyết phục họ chấp nhận thanh toán bằng Bitcoin, nhưng những kẻ tấn công sau đó thường yêu cầu khoản phí 10% –15% cho các khoản thanh toán bằng Bitcoin cao hơn mức họ yêu cầu đối với thanh toán Monero - điều này phản ánh mối quan tâm của họ về khả năng truy xuất nguồn gốc của Bitcoin khiến họ dễ bị tổn thương. ” 

Cấm tiền điện tử có phải là một giải pháp?

Gần đây, cựu Giám sát viên của Ngân hàng Dự trữ Liên bang New York Lee Reiners đề nghị trong một bài báo trên Wall Street Journal rằng “Có một cách đơn giản và hiệu quả hơn để ngăn chặn đại dịch ransomware: Cấm tiền điện tử”. Sau cùng, anh ấy nói thêm, “Ransomware không thể thành công nếu không có tiền điện tử”. 

Benjamin Sauter, một luật sư tại Kobre & Kim LLP, nhận xét: “Điều này nghe có vẻ giống như một giải pháp thậm chí còn tồi tệ hơn cả vấn đề. “Tuy nhiên, nó phản ánh nhận thức, đặc biệt là trong số nhiều nhà hoạch định chính sách ở Mỹ, rằng tiền điện tử cung cấp thiên đường cho tội phạm cần được hạn chế,” ông nói với Tạp chí. 

Bill Siegel, đồng sáng lập và Giám đốc điều hành của công ty khôi phục ransomware Coveware, nói với Tạp chí Magazine: “Lợi nhuận cho các tác nhân đe dọa đang thực hiện các cuộc tấn công ransomware của chúng tôi chắc chắn sẽ giảm nếu tiền điện tử không tồn tại, vì rửa tiền fiat vốn đã tốn kém hơn. "Mặc dù vậy, những cuộc tấn công này vẫn sẽ xảy ra."

Neuman cho biết thêm: “Tôi không nghĩ việc cấm tiền điện tử là hợp lý. “Các luật hiện có trên sách ở Mỹ yêu cầu thông tin phải được thu thập trên một số loại phương tiện thanh toán cho các giao dịch trên một ngưỡng nhất định và chúng tôi cũng có thể áp dụng các quy tắc đó cho tiền điện tử. Nếu chúng tôi cấm tiền điện tử, bọn tội phạm sẽ chỉ đơn giản là chuyển nhu cầu thanh toán của họ sang các công cụ khác ”.

Một "trò chơi mèo và chuột"

Liska cho biết trong tương lai, các nhóm ransomware sẽ phải sống chung với nguy cơ bị bắt bằng cách sử dụng Bitcoin, “hoặc quyết định xem họ có sẵn sàng chấp nhận các khoản thanh toán tiền chuộc thấp hơn đáng kể để bảo mật tốt hơn tính ẩn danh của họ hay không”.  

Đây vẫn là “một trò chơi mèo vờn chuột giữa bọn tội phạm và cơ quan thực thi pháp luật”, Cartwright nói thêm, “và những thành công gần đây của việc thực thi pháp luật là do bọn tội phạm đã cẩu thả hoặc mắc sai lầm [chứ không phải là một lỗ hổng cơ bản trong [bọn tội phạm '] mô hình kinh doanh."

Có thể cần một nỗ lực toàn cầu để lật ngược tình thế đối với ransomware. Carlisle cho biết tất cả các quốc gia cần phải điều chỉnh các nền tảng trao đổi tiền điện tử, “nếu không, những kẻ tấn công sẽ tiếp tục có những con đường dễ dàng để rửa tiền thu được từ tội phạm của họ,” trong khi Bieda dự đoán rằng tiền điện tử sẽ tiếp tục được sử dụng để thanh toán tiền chuộc “cho đến khi có các quy định nghiêm ngặt trên toàn cầu và khu vực như khi các hình phạt khắc nghiệt đối với KYC mờ nhạt được đưa ra. "

Truy tìm đường ống thuộc địa # bitcoin #tiền chuộc đến DarkSide để FBI thu giữ:
▸5/8 Colonial Pipeline trả 75 BTC
▸5/9 chi nhánh DarkSide rút 63.75 BTC
▸5 / 27 63.75 BTC đã được chuyển sang ví khác, khóa cá nhân “thuộc quyền sở hữu của FBI”
▸6 / 8 BTC trong ví bị FBI thu giữ pic.twitter.com/RAebpn3P3H

- hình elip (@elliptic) 10 Tháng Sáu, 2021

Điều quan trọng là phải đặt ransomware trong ngữ cảnh. Neuman cho biết: “Ransomware chỉ đơn giản là phương pháp gần đây nhất được bọn tội phạm sử dụng để kiếm tiền từ việc khai thác của chúng. “Tại một thời điểm nào đó, nó có thể không còn được gọi là ransomware, nhưng các cuộc tấn công vào hệ thống máy tính sẽ có những hình thức khác”. Sauter nói thêm: "Mọi người sẽ thắng nếu có một giải pháp dựa trên ngành."

Tóm lại, mọi người có xu hướng đánh giá quá cao tính ẩn danh của Bitcoin và đánh giá thấp tính minh bạch của nó. Jevans lưu ý: “Sẽ luôn có những kẻ xấu”, nhưng các nhóm ransomware sẽ nhận ra rằng các khoản thanh toán bằng tiền điện tử có thể theo dõi được, khiến họ dễ bị tổn thương và thậm chí có thể kích động họ tìm các phương tiện khác để theo đuổi hoạt động giao dịch khôn ngoan của họ.

Trong khi đó, “Những tiến bộ liên tục trong phân tích blockchain sẽ cung cấp cho các nhà điều tra những hiểu biết sâu sắc hơn và thậm chí tốt hơn theo thời gian,” Carlisle nói. Và khi các cơ quan thực thi pháp luật ngày càng trở nên thành thạo trong việc sử dụng các công cụ phân tích này, "Chúng tôi có thể mong đợi sẽ thấy nhiều hơn, và lớn hơn, các vụ bắt giữ [ransomware] theo thời gian."

Nguồn: https://cointelegraph.com/magazine/2021/09/16/bitcoin-ledger-as-a-secret-weapon-in-war-against-ransomware