Rok 2020 był rekordowy pod względem płatności za oprogramowanie ransomware (692 miliony dolarów), a rok 2021 prawdopodobnie będzie wyższy, gdy wszystkie dane będą dostępne, niedawno Chainalytic zgłaszane. Co więcej, wraz z wybuchem wojny ukraińsko-rosyjskiej oczekuje się, że wzrośnie również wykorzystanie oprogramowania ransomware jako narzędzia geopolitycznego – a nie tylko wyciągania pieniędzy.
Jednak nowe amerykańskie prawo może powstrzymać rosnącą falę wymuszenia. Niedawno prezydent Stanów Zjednoczonych Joe Biden podpisana wprowadziła ustawę o wzmocnieniu amerykańskiego cyberbezpieczeństwa lub ustawę Petersa, wymagającą od firm infrastrukturalnych zgłaszania rządowi znaczących cyberataków w ciągu 72 godzin i w ciągu 24 godzin, jeśli dokonują płatności za oprogramowanie ransomware.
Dlaczego to jest ważne? Analiza Blockchain okazała się coraz bardziej skuteczna w zakłócaniu działania sieci oprogramowania ransomware, co widać w zeszłorocznej sprawie Colonial Pipeline, w której Departament Sprawiedliwości był w stanie wyzdrowieć 2.3 miliona dolarów z łącznej kwoty, jaką firma rurociągowa zapłaciła grupie zajmującej się oprogramowaniem ransomware.
Aby jednak utrzymać tę pozytywną tendencję, potrzeba więcej danych i należy je dostarczać w krótszym czasie, zwłaszcza adresy kryptograficzne złoczyńców, ponieważ prawie wszystkie ataki oprogramowania ransomware angażować kryptowaluty oparte na blockchainie, zazwyczaj Bitcoin (BTC).
W tym miejscu powinno pomóc nowe prawo, ponieważ jak dotąd ofiary oprogramowania ransomware rzadko zgłaszają wymuszenia organom rządowym lub innym osobom.
„Będzie to bardzo pomocne” – powiedział Cointelegraph Roman Bieda, szef ds. dochodzeń w sprawie oszustw w Coinfirm. „Możliwość natychmiastowego „oznaczenia” określonych monet, adresów lub transakcji jako „ryzykownych” […] umożliwia wszystkim użytkownikom dostrzeżenie ryzyka jeszcze przed jakąkolwiek próbą prania”.
„To z pewnością pomoże w analizach prowadzonych przez badaczy kryminalistyki blockchain” – powiedział Cointelegraph Allan Liska, starszy analityk wywiadu w Recorded Future. „Chociaż grupy zajmujące się oprogramowaniem ransomware często wymieniają portfele po każdym ataku oprogramowania ransomware, pieniądze ostatecznie wracają do jednego portfela. Badacze Blockchain stali się bardzo dobrzy w łączeniu tych punktów.” Dodał, że udało im się tego dokonać pomimo mieszania i innych taktyk stosowanych przez kręgi zajmujące się oprogramowaniem ransomware i współpracujące z nimi podmioty zajmujące się praniem pieniędzy.
Zgadza się z tym Siddhartha Dalal, profesor praktyki zawodowej na Uniwersytecie Columbia. W zeszłym roku Dalal był współautorem artykułu pod tytulem „Identyfikowanie aktorów oprogramowania ransomware w sieci Bitcoin” opisujące, w jaki sposób on i jego koledzy badacze byli w stanie wykorzystać algorytmy grafowego uczenia maszynowego i analizę łańcucha bloków do identyfikacji osób atakujących oprogramowanie ransomware z „85% dokładnością przewidywań na zestawie danych testowych”.
Chociaż ich wyniki były zachęcające, autorzy stwierdzili, że mogliby osiągnąć jeszcze większą dokładność poprzez dalsze ulepszanie swoich algorytmów i, co najważniejsze, „uzyskiwanie większej liczby danych, które są bardziej niezawodne”.
Wyzwaniem dla twórców modeli kryminalistycznych jest to, że pracują z wysoce niezrównoważonymi lub wypaczonymi danymi. Badacze z Uniwersytetu Columbia byli w stanie wykorzystać 400 milionów transakcji Bitcoin i blisko 40 milionów adresów Bitcoin, ale tylko 143 z nich to potwierdzone adresy ransomware. Innymi słowy, transakcje niezwiązane z nadużyciami finansowymi znacznie przewyższały transakcje oszukańcze. Przy tak wypaczonych danych model albo oznaczy wiele fałszywych alarmów, albo pominie fałszywe dane w niewielkim procencie.
Bieda należąca do Coinfirm zapewniła przykład tego problemu w zeszłym roku w wywiadzie:
„Powiedzmy, że chcesz zbudować model, który wyciągnie zdjęcia psów ze skarbca zdjęć kotów, ale masz zestaw danych treningowych zawierający 1,000 zdjęć kotów i tylko jedno zdjęcie psa. Model uczenia maszynowego „nauczyłby się, że można traktować wszystkie zdjęcia jako zdjęcia kota, ponieważ margines błędu wynosi [tylko] 0.001”.”
Inaczej mówiąc, algorytm „po prostu cały czas zgadywałby słowo „kot”, co oczywiście czyniłoby model bezużytecznym, nawet jeśli uzyskałby wysoką ogólną dokładność”.
Dalal został zapytany, czy to nowe amerykańskie ustawodawstwo pomoże w rozszerzeniu publicznego zbioru danych o „fałszywych” adresach Bitcoin i kryptograficznych potrzebnych do skuteczniejszej analizy blockchain sieci oprogramowania ransomware.
„Nie ma co do tego wątpliwości” – Dalal powiedział Cointelegraph. „Oczywiście więcej danych zawsze przyda się w każdej analizie.” Ale co ważniejsze, zgodnie z prawem płatności za oprogramowanie ransomware będą teraz ujawniane w ciągu 24 godzin, co zapewnia „większą szansę na odzyskanie danych, a także możliwości identyfikacji serwerów i metod ataku, aby inne potencjalne ofiary mogły podjąć kroki obronne w celu ich chronić” – dodał. Dzieje się tak dlatego, że większość sprawców używa tego samego złośliwego oprogramowania do atakowania innych ofiar.
Niewykorzystane narzędzie kryminalistyczne
Ogólnie nie wiadomo, czy organy ścigania odnoszą korzyści, gdy przestępcy wykorzystują kryptowaluty do finansowania swojej działalności. „Możesz wykorzystać analizę blockchain, aby odkryć cały łańcuch dostaw” – powiedziała Kimberly Grauer, dyrektor ds. badań w Chainalytic. „Możesz zobaczyć, gdzie kupują kuloodporny hosting, gdzie kupują złośliwe oprogramowanie, jakiego partnera ma siedzibę w Kanadzie” i tak dalej. „Możesz uzyskać wiele informacji na temat tych grup” poprzez analizę blockchain– dodała podczas niedawnego okrągłego stołu Chainalytic Media w Nowym Jorku.
Ale czy to prawo, którego wdrożenie zajmie jeszcze miesiące, naprawdę pomoże? „To pozytyw, pomogłoby” – odpowiedział na tym samym wydarzeniu Salman Banaei, współszef polityki publicznej w Chainalytic. „Opowiadaliśmy się za tym, ale to nie jest tak, że wcześniej działaliśmy na ślepo”. Czy dzięki temu ich działania kryminalistyczne będą znacznie skuteczniejsze? „Nie wiem, czy zwiększyłoby to naszą skuteczność, ale spodziewalibyśmy się pewnej poprawy pod względem zasięgu danych”.
Zanim prawo zostanie wdrożone, w procesie stanowienia przepisów należy jeszcze dopracować szczegóły, ale pojawiło się już jedno oczywiste pytanie: które przedsiębiorstwa będą musiały się do nich zastosować? „Należy pamiętać, że ustawa ma zastosowanie wyłącznie do «podmiotów będących właścicielami infrastruktury krytycznej lub ją obsługują»” – Liska powiedziała Cointelegraph. Choć mogłoby to obejmować dziesiątki tysięcy organizacji z 16 sektorów, „wymóg ten nadal dotyczy jedynie niewielkiej części organizacji w Stanach Zjednoczonych”.
Ale może nie. Stosownie do Bipul Sinha, dyrektora generalnego i współzałożyciela Rubrik, firmy zajmującej się bezpieczeństwem danych, sektory infrastruktury wymienione w prawie zawierać usługi finansowe, IT, energetyka, opieka zdrowotna, transport, obiekty produkcyjne i handlowe. „Innymi słowy, prawie wszyscy” – napisał w „Fortune”. artykuł niedawno.
Kolejne pytanie: czy należy zgłaszać każdy atak, nawet ten uznawany za stosunkowo błahy? Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury, do której firmy będą składać sprawozdania, niedawno skomentowała, że nawet drobne czyny mogą zostać uznane za podlegające zgłoszeniu. „Ze względu na rosnące ryzyko rosyjskich cyberataków […] każdy incydent może zapewnić ważne okruchy chleba prowadzące do wyrafinowanego atakującego” – New York Times zgłaszane.
Czy słuszne jest założenie, że wojna powoduje pilniejszą potrzebę podjęcia działań zapobiegawczych? Przecież między innymi prezydent Joe Biden zwiększył prawdopodobieństwo odwetowych cyberataków ze strony rosyjskiego rządu. Liska nie uważa jednak, że obawy te się rozwiały – przynajmniej na razie:
„Wydaje się, że odwetowe ataki ransomware po rosyjskiej inwazji na Ukrainę nie doszły do skutku. Jak przez większość wojny, Rosja była słaba koordynacja, więc żadne grupy oprogramowania ransomware, które mogły zostać zmobilizowane, nie były.”
Mimo to w 2021 r. prawie trzy czwarte wszystkich pieniędzy zarobionych w wyniku ataków oprogramowania ransomware trafiło do hakerów powiązanych z Rosją, według do Chainalytic, więc nie można wykluczyć, że stamtąd nastąpi wzrost aktywności.
Nie jest to rozwiązanie samodzielne
Algorytmy uczenia maszynowego, które identyfikują i śledzą podmioty odpowiedzialne za oprogramowanie ransomware poszukujące płatności w oparciu o technologię blockchain – a prawie każde oprogramowanie ransomware obsługujące technologię blockchain – niewątpliwie ulegną teraz poprawie, stwierdził Bieda. Jednak rozwiązania w zakresie uczenia maszynowego to tylko „jeden z czynników wspierających analizę blockchain, a nie samodzielne rozwiązanie”. Nadal istnieje krytyczna potrzeba „szerokiej współpracy w branży między organami ścigania, firmami prowadzącymi dochodzenie w sprawie blockchain, dostawcami usług dotyczących aktywów wirtualnych i, oczywiście, ofiarami oszustw w blockchain”.
Dalal dodał, że pozostaje wiele wyzwań technicznych, głównie wynikających z wyjątkowego charakteru pseudoanonimowości, wyjaśniając Cointelegraph:
„Większość publicznych łańcuchów bloków jest pozbawiona uprawnień, a użytkownicy mogą tworzyć tyle adresów, ile chcą. Transakcje stają się jeszcze bardziej złożone, ponieważ istnieją tumblery i inne usługi miksujące, które są w stanie mieszać skażone pieniądze z wieloma innymi. Zwiększa to kombinatoryczną złożoność identyfikacji sprawców ukrywających się za wieloma adresami”.
Większy postęp?
Niemniej jednak wydaje się, że wszystko zmierza w dobrym kierunku. „Myślę, że jako branża robimy znaczny postęp” – dodała Liska, „i dokonaliśmy tego stosunkowo szybko”. Wiele firm prowadzi bardzo innowacyjną pracę w tej dziedzinie, „a Departament Skarbu i inne agencje rządowe również zaczynają dostrzegać wartość analizy blockchain”.
Z drugiej strony, chociaż analiza blockchain wyraźnie robi postępy, „w tej chwili na oprogramowaniu ransomware i kradzieży kryptowalut zarabia się tak dużo pieniędzy, że nawet wpływ tej pracy blednie w porównaniu z ogólnym problemem” – dodała Liska.
Chociaż Bieda widzi postęp, nakłonienie firm do zgłaszania oszustw związanych z blockchainem, szczególnie poza Stanami Zjednoczonymi, nadal będzie wyzwaniem. „W ciągu ostatnich dwóch lat ponad 11,000 XNUMX ofiar oszustw w blockchain dotarło do Coinfirm za pośrednictwem naszej strony internetowej Reclaim Crypto” – powiedział. „Jedno z pytań, które sobie zadajemy, brzmi: «Czy zgłosiłeś kradzież organom ścigania?». – a wiele ofiar tego nie zrobiło”.
Dalal powiedział, że mandat rządu jest ważnym krokiem we właściwym kierunku. „To z pewnością zmieni zasady gry” – powiedział Cointelegraph, ponieważ napastnicy nie będą mogli powtórzyć użycia swoich ulubionych technik, „i będą musieli poruszać się znacznie szybciej, aby zaatakować wiele celów. Zmniejszy to również piętno związane z atakami, a potencjalne ofiary będą mogły lepiej się chronić”.
Źródło: https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analytic