比特币分类账作为对抗勒索软件的秘密武器

据 Coinfirm 称，勒索软件是一种对计算机进行加密并在支付赎金之前一直“锁定”计算机的恶意软件，是世界上增长最快的网络威胁。 最近对关键国家基础设施的攻击，如殖民管道入侵，使美国东海岸的石油和天然气运输中断了一周，已经引起了警报。 赎金支付几乎总是以比特币或其他加密货币支付。 

但是，尽管许多人被 XNUMX 月的殖民管道攻击震惊了——拜登政府在其后果中发布了新的管道法规——但很少有人知道这出戏的最后一幕：使用区块链分析，联邦调查局能够 遵循 赎金支付资金流动并收回支付给勒索软件组织 DarkSide 的约 85% 的比特币。 

事实上，可以通过机器学习算法进一步增强的区块链分析是对抗勒索软件的一种很有前途的新技术。 它需要一些加密的核心属性——例如，去中心化和透明度——并使用这些属性 驳 恶意软件不法分子。 

虽然加密货币的批评者倾向于强调其匿名性——以及因此对犯罪分子的吸引力——但他们往往忽视了 BTC 交易的相对可见性。 比特币账本每天实时更新并分发到全球数万台计算机，其交易情况有目共睹。 通过分析流程，法医专家通常可以 鉴定 可疑活动。 这可能被证明是勒索软件的致命弱点。

未充分利用的手段

“记录比特币交易的区块链分类账是一种未被充分利用的取证工具，执法机构和其他机构可以使用它来识别和破坏非法活动，” 美国中央情报局前代理局长迈克尔·莫雷尔在最近的一篇博客中宣称：

“简而言之，区块链分析是一种高效的打击犯罪和情报收集工具。[...] 一位加密货币生态系统专家称区块链技术是“监视的福音”。 

沿着这些思路，哥伦比亚大学的三位研究人员最近 出版 一篇题为“识别比特币网络中的勒索软件参与者”的论文，描述了他们如何能够使用图形机器学习算法和区块链分析来识别勒索软件攻击者，“测试数据集的预测准确率为 85%”。

那些处于勒索软件斗争前线的人在区块链分析中看到了希望。 Chainalysis 全球公共部门首席技术官 Gurvais Grigg 告诉杂志，“虽然乍一看似乎加密货币使勒索软件成为可能，但加密货币实际上有助于对抗它。”

“有了正确的工具，执法部门可以跟踪区块链上的资金，以更好地了解和破坏组织的运营和供应链。 正如我们在 XNUMX 月份对 NetWalker 勒索软件菌株的‘删除’中所看到的那样，这是一种行之有效的方法。”

单独的区块链分析是否足以阻止勒索软件入侵，或者是否需要与其他策略相结合，例如对容忍勒索软件组织的外国施加政治/经济压力，则是另一个问题。

揭露犯罪分子？

南加州大学计算机科学实践副教授 Clifford Neuman 认为，区块链分析是一种未被充分利用的取证工具。 “许多人，包括罪犯，都认为比特币是匿名的。 事实上，远非如此，因为资金流在‘公共’区块链上比在几乎任何其他类型的交易中都更加明显。” 他补充说：“诀窍是将端点与个人联系起来，有时可以使用区块链分析工具来进行这种联系。”

揭露勒索软件攻击者的有效手段？ “是的，绝对，”加密情报公司 CipherTrace 的首席执行官 Dave Jevans 告诉杂志。 “使用有效的区块链分析和加密货币情报软件”——他的公司生产的那种——“跟踪勒索软件参与者将资金转移到哪里，可以引导调查人员找到他们的真实身份，因为他们试图将他们的加密货币转移到法定货币。” 

分析公司 Elliptic 的政策和监管事务主管大卫卡莱尔告诉杂志：“区块链分析已经被证明是一种有价值的技术，可以使执法部门破坏这些网络的活动，正如殖民管道案例所表明的那样。”

在 Colonial Pipeline 于 8 月 17.5 日支付赎金后的几天内，Elliptic 能够识别收到付款的比特币钱包。 此外，“它 [钱包] 自 XNUMX 月以来已收到总计 XNUMX 万美元的比特币付款，” 重新计票 律师事务所 Kelley Drye & Warren LLP。 Elliptic 得益于犯罪分子没有使用“混合器”来进一步掩盖他们的踪迹。 卡莱尔补充说： 

“比特币和其他加密资产的潜在透明度意味着执法部门通常可以收集到法定货币无法实现的洗钱活动的一定程度的洞察力。”

机器学习的推动？

机器学习 (ML) 是一种新兴技术，例如区块链，似乎每周都会发现新的用例。 ML 是否也能协助对抗勒索软件？

Recorded Future 的高级情报分析师 Allan Liska 告诉杂志，“绝对是 手册 分析成为 减 有效——并且需要机器学习来有效跟踪恶意交易的迹象。”

“机器学习在打击犯罪方面非常有前途，”Coinfirm 欺诈调查负责人罗曼·比达告诉杂志，但它需要大量数据才能有效。 获得数以百万计的比特币地址相对容易，但是可以训练和测试学习模型的数据集还需要一定数量的“欺诈性”比特币地址——即确认的勒索软件参与者。 “否则，该模型要么会标记大量误报，要么会忽略欺诈性数据作为一小部分，”Bieda 说。

假设您想构建一个模型，该模型将从大量猫照片中提取狗的照片，但您有一个包含 1,000 张猫照片和只有一张狗照片的训练数据集。 ML 模型“将 学习 Bieda 指出，可以将所有照片视为猫照片，因为误差幅度 [仅] 0.001。 换句话说，算法只会一直猜测“猫”，这当然会使模型毫无用处，即使它在整体准确度上得分很高。  

在哥伦比亚大学的研究中，研究人员使用了 400 亿笔比特币交易和近 40 万个比特币地址，但其中只有 143 个被确认为勒索软件地址。 

“我们表明，已知此类参与者的非常局部的子图足以在测试数据集上以 85% 的预测准确率区分勒索软件、随机和赌博参与者，”作者报告说，并补充说“通过改进聚类应该可以进一步改进算法。” 

然而，他们补充说，“获得更多更可靠的数据将提高准确性”，使模型更加“敏感”并避免 Bieda 上面描述的那种问题，大概。 

沿着这些思路，美国国土安全部在殖民地管道攻击之后发布了一项指令，要求管道公司报告网络攻击。 报告攻击以前是可选的。 像这样的授权可以说有助于建立有效的区块链分析所需的“欺诈”地址的公共数据集。 卡莱尔补充道：“公私合作伙伴关系需要专注于共享与勒索软件攻击相关的金融情报。”

许多区块链分析的前提是攻击者可以在攻击发生后被揭露。 但是执法机构，尤其是勒索软件受害者，更希望攻击不要发生。 根据杰文斯的说法，区块链分析还可以使执法机构采取先发制人的行动。 他告诉杂志：

“虽然区块链聚类算法通常需要有人向地址付款以跟踪资金并识别所有者，但 CipherTrace 等高级工具也可以针对尚未收到资金的地址生成可操作的情报，例如 IP 数据这可以帮助调查人员。”

必要但不充分？

然而，有人问，区块链分析本身是否足以消除勒索软件。 “区块链分析是执法工具包中的一个重要工具，但没有解决勒索软件问题的单一灵丹妙药，”格里格说。 

Liska 补充道：“除非政府愿意使用，否则即使是最好的研究和识别工具也无效。 阻止勒索软件交易将需要私人实体和政府之间的合作。”

据 Coinfirm 称，许多勒索软件攻击起源于俄罗斯边境，因此有些人问弗拉基米尔·普京是否可以被迫关闭这些组织的运营。 “过去的案例表明，对与网络攻击有关的国家无能为力，即使有非常强烈的迹象表明黑客与秘密服务有关，”别达告诉杂志。 

其他人质疑区块链分析是否可以对恶意软件问题产生任何影响。 德蒙福特大学经济学教授爱德华卡特赖特对杂志说：“现在将加密货币视为勒索软件的工具还为时过早。” “虽然最近有一些‘好消息’，但现实情况是，勒索软件犯罪分子仍然经常使用比特币作为提取赎金的最简单、最匿名的方式。”

此外，即使比特币由于其可追溯性而变得对犯罪分子来说太具有放射性——在卡特赖特看来是“一个很大的假设”——“犯罪分子可以简单地转向完全匿名且无法追踪的货币，”他说，比如门罗币和其他隐私币。

“我们真的需要看到私营部门和公共部门之间加强合作，以建立这些勒索软件组织的完整资料，”杰文斯说。 “在这些情况下共享信息可能是灵丹妙药。” 

“其中一个挑战是勒索软件组织正在转向离线方法来移动比特币，”Liska 说。 “从字面上看，两个人在停车场或餐厅见面，手里拿着手机和装满现金的公文包。” 他告诉杂志，这些类型的交易更难追踪，“但使用更先进的追踪技术仍然不是不可能。”

但是犯罪分子会转向隐私币吗？

Cartwright 的观点是，如果比特币被证明太可追踪，勒索软件参与者将简单地转向像 Monero 这样的隐私币？ 卡莱尔告诉杂志，Elliptic 已经看到试图从 Monero 中的勒索软件受害者那里获得付款的“显着增加”。 “自殖民管道案件以来，这种情况确实有所增加，当时比特币可追溯性的影响对任何其他网络犯罪分子都清楚地显示出来。”

但是隐私币也可以被追踪，尽管这样做比较困难，因为与比特币不同，隐私币隐藏了用户的地址和交易金额。 一些司法管辖区也有 打击隐私币，或者正在考虑这样做。 例如，日本在 2018 年禁止了隐私币。 但也有一个实际问题。 Bieda 告诉杂志，面临付款截止日期的勒索软件受害者通常很难找到可以在规定时间内将他们的法定货币转换为 XMR 以支付勒索者并解锁他们的计算机的交易所。 加密货币交易所对隐私币的支持不如比特币。 Jevans 说：“比特币是最容易获得的加密货币，”并补充说：

“与其他隐私增强型加密货币相比，勒索软件参与者不太可能完全停止使用比特币，因为它具有流动性和比特币可访问法币出口。”

卡莱尔补充说，大多数受监管的交易所不提供门罗币交易。 “受害者可能会与攻击者谈判并说服他们接受比特币支付，但攻击者通常会要求支付比门罗币支付所需费用高 10% 至 15% 的比特币支付费用——这反映了他们对比特币可追溯性的担忧让他们变得脆弱。” 

禁止加密货币是一种解决方案吗？

近日，纽约联邦储备银行前监事李·莱纳斯 建议 在华尔街日报的一篇评论文章中说：“有一种更简单、更有效的方法来阻止勒索软件大流行：禁止加密货币。” 毕竟，他补充说，“没有加密货币，勒索软件就无法成功。” 

“这听起来像是一个比问题更糟糕的解决方案，”高博金律师事务所的律师 Benjamin Sauter 评论道。 “然而，它确实反映了一种看法，特别是在美国的许多政策制定者中，加密货币为需要限制的犯罪分子提供了避风港，”他告诉杂志。 

勒索软件恢复公司 Coveware 的联合创始人兼首席执行官比尔·西格尔 (Bill Siegel) 告诉杂志：“如果不存在加密货币，实施勒索软件攻击的威胁参与者的盈利能力肯定会下降，因为洗钱的成本本来就更高。” “但这些攻击仍然会发生。”

“我认为禁止加密货币没有意义，”纽曼补充道。 “美国现行法律要求收集有关超过特定阈值的交易的某些类型的支付工具的信息，我们也可以将这些规则应用于加密货币。 如果我们禁止加密货币，犯罪分子只会将他们的支付需求转移到其他工具上。”

一场“猫捉老鼠的游戏”

展望未来，勒索软件组织将不得不忍受越来越多的使用比特币被抓的风险，Liska 说，“或者决定他们是否愿意接受显着降低的赎金支付以更好地保护他们的匿名性。”  

这仍然是“罪犯和执法部门之间的猫捉老鼠游戏，”卡特赖特补充道，“最近执法部门取得的成功更多是因为罪犯粗心大意或犯了错误 [而不是] [罪犯] 的根本缺陷。商业模式。”

可能需要全球努力来扭转勒索软件的潮流。 卡莱尔说，所有国家都需要对加密货币交易平台进行监管，“否则攻击者将继续有容易的渠道来清洗他们的犯罪所得”，而 Bieda 预测加密货币将继续用于支付赎金“直到严格的全球和地区法规，例如因为对乏善可陈的 KYC 实施严厉处罚。”

追踪殖民管道 #bitcoin ＃赎金 DarkSide 到 FBI 没收：
▸5/8 Colonial Pipeline 支付 75 BTC
▸5/9 DarkSide 附属公司提取 63.75 BTC
▸5/27 63.75 BTC 转移到另一个钱包，私钥“在 FBI 手中”
▸ FBI查获的钱包中的6/8 BTC pic.twitter.com/RAebpn3P3H

-椭圆（@elliptic） 2021 年 6 月 10 日

将勒索软件置于上下文中也很重要。 “勒索软件只是犯罪分子利用其漏洞获利的最新方法，”纽曼说。 “在某个时候，它可能不再被称为勒索软件，但对计算机系统的攻击将采取其他形式。” Sauter 补充道：“如果有基于行业的解决方案，每个人都会赢。”

总而言之，人们倾向于高估比特币的匿名性而低估其透明度。 正如杰文斯指出的那样，“总会有坏人”，但勒索软件组织会意识到加密支付是可追踪的，这让他们很容易受到攻击，甚至可能会煽动他们寻找其他方式来进行背信弃义的交易。

同时，“随着时间的推移，区块链分析的不断进步将为调查人员提供更多甚至更好的见解，”卡莱尔说。 随着执法机构越来越熟练地使用这些分析工具，“随着时间的推移，我们预计会看到更多、更大的 [勒索软件] 缉获量。”

来源：https://cointelegraph.com/magazine/2021/09/16/bitcoin-ledger-as-a-secret-weapon-in-war-against-ransomware