Rok 2020 bol rekordným rokom pre platby ransomvéru (692 miliónov dolárov) a rok 2021 bude pravdepodobne vyšší, keď budú všetky údaje k dispozícii, Chainalysis nedávno hlásené. Okrem toho sa očakáva, že s vypuknutím ukrajinsko-ruskej vojny porastie aj používanie ransomvéru ako geopolitického nástroja – nielen na získavanie peňazí.
Nový americký zákon by však mohol zastaviť túto rastúcu vydieračskú vlnu. Nedávno prezident Spojených štátov amerických Joe Biden podpísaný do zákona o posilnení amerického zákona o kybernetickej bezpečnosti alebo Petersovho zákona, ktorý vyžaduje, aby spoločnosti v oblasti infraštruktúry hlásili vláde závažné kybernetické útoky do 72 hodín a do 24 hodín, ak zaplatia ransomvér.
Prečo je to dôležité? Analýza blockchainu sa ukázala ako čoraz efektívnejšia pri narúšaní sietí ransomvéru, ako bolo vidieť v prípade Colonial Pipeline minulý rok, kde ministerstvo spravodlivosti dokázalo zotaviť sa 2.3 milióna dolárov z celkovej sumy, ktorú potrubná spoločnosť zaplatila ransomvérovému kruhu.
Na udržanie tohto pozitívneho trendu je však potrebných viac údajov, ktoré sa musia poskytnúť včasnejšie, najmä kryptografické adresy zloduchov, pretože takmer všetky útoky ransomvéru zahrnúť kryptomeny založené na blockchaine, zvyčajne bitcoin (BTC).
Tu by mal nový zákon pomôcť, pretože doteraz obete ransomvéru len zriedka nahlasujú vydieranie vládnym orgánom alebo iným.
„Bude to veľmi užitočné,“ povedal pre Cointelegraph Roman Bieda, vedúci vyšetrovania podvodov v Coinfirm. „Možnosť okamžite „označiť“ konkrétne mince, adresy alebo transakcie ako „rizikové“ […] umožňuje všetkým používateľom rozpoznať riziko ešte pred akýmkoľvek pokusom o pranie.
„Absolútne to pomôže pri analýze zo strany forenzných výskumníkov blockchainu,“ povedal pre Cointelegraph Allan Liska, senior analytik spravodajstva v Recorded Future. „Zatiaľ čo skupiny ransomvéru často vymieňajú peňaženky pri každom útoku ransomvéru, tieto peniaze sa nakoniec vrátia späť do jedinej peňaženky. Výskumníci blockchainu sú veľmi dobrí v spájaní týchto bodov.“ Dokázali to napriek zmiešaniu a iným taktikám, ktoré používajú kruhy ransomvéru a ich spoločníci, ktorí perú špinavé peniaze, dodal.
Siddhartha Dalal, profesor odbornej praxe na Kolumbijskej univerzite, súhlasil. Minulý rok bol Dalal spoluautorom článku s názvom „Identifikácia aktérov ransomvéru v bitcoinovej sieti“, ktorá opísala, ako on a jeho kolegovia výskumníci dokázali použiť algoritmy strojového učenia grafov a analýzu blockchainu na identifikáciu útočníkov ransomvéru s „85% presnosťou predpovedí v súbore testovacích údajov“.
Zatiaľ čo ich výsledky boli povzbudivé, autori uviedli, že by mohli dosiahnuť ešte lepšiu presnosť ďalším zlepšovaním svojich algoritmov a, čo je kritické, „získať viac údajov, ktoré sú spoľahlivejšie“.
Výzvou pre forenzných modelárov je, že pracujú s vysoko nevyváženými alebo skreslenými údajmi. Výskumníci z Kolumbijskej univerzity dokázali čerpať zo 400 miliónov bitcoinových transakcií a takmer 40 miliónov bitcoinových adries, ale iba 143 z nich boli potvrdené adresy ransomvéru. Inými slovami, transakcie, ktoré nie sú podvodom, výrazne prevážili nad podvodnými transakciami. Pri takto skreslených údajoch model buď označí veľa falošne pozitívnych výsledkov, alebo vynechá podvodné údaje ako malé percento.
Coinfirm's Bieda poskytla an príklad tohto problému v minuloročnom rozhovore:
„Povedzme, že chcete zostaviť model, ktorý vytiahne fotografie psov zo zásob fotografií mačiek, ale máte tréningový súbor údajov s 1,000 0.001 fotografiami mačiek a iba jednou fotkou psa. Model strojového učenia „by sa dozvedel, že je v poriadku zaobchádzať so všetkými fotografiami ako s fotografiami mačiek, pretože chybová hranica je [iba] XNUMX.“
Inak povedané, algoritmus by celý čas „len hádal 'mačka', čo by znamenalo, že model by bol, samozrejme, nepoužiteľný, aj keď by mal vysokú celkovú presnosť.
Dalal dostal otázku, či by táto nová legislatíva USA pomohla rozšíriť verejný súbor údajov „podvodných“ bitcoinových a kryptografických adries potrebných na efektívnejšiu blockchainovú analýzu sietí ransomvéru.
"O tom niet pochýb," povedal Dalal pre Cointelegraph. "Samozrejme, viac údajov je vždy dobré pre akúkoľvek analýzu." Čo je však ešte dôležitejšie, podľa zákona budú teraz platby ransomvéru odhalené do 24 hodín, čo umožňuje „lepšiu šancu na obnovu a tiež možnosti identifikácie serverov a metód útoku, aby ďalšie potenciálne obete mohli podniknúť obranné kroky chrániť ich,“ dodal. Je to preto, že väčšina páchateľov používa rovnaký malvér na útoky na iné obete.
Nedostatočne využívaný forenzný nástroj
Vo všeobecnosti nie je známe, že orgány činné v trestnom konaní majú prospech, keď zločinci používajú kryptomeny na financovanie svojich aktivít. „Na odhalenie celého ich dodávateľského reťazca môžete použiť analýzu blockchainu,“ povedala Kimberly Grauer, riaditeľka výskumu v Chainalysis. „Môžete vidieť, kde kupujú svoj nepriestrelný hosting, kde kupujú svoj malvér, ich pobočku so sídlom v Kanade“ atď. „Môžete získať veľa informácií o týchto skupinách“ prostredníctvom analýzy blockchainu, dodala na nedávnom okrúhlom stole Chainalysis Media v New Yorku.
Pomôže však tento zákon, ktorého implementácia ešte potrvá mesiace? „Je to pozitívne, pomohlo by to,“ odpovedal na tom istom podujatí Salman Banaei, spolupredseda verejnej politiky v Chainalysis. "Obhajovali sme to, ale nie je to tak, že by sme predtým lietali naslepo." Výrazne zefektívnilo ich forenzné úsilie? "Neviem, či by nás to výrazne zefektívnilo, ale očakávali by sme určité zlepšenie, pokiaľ ide o pokrytie dát."
V procese tvorby pravidiel pred implementáciou zákona ešte treba doladiť detaily, ale už tu bola nastolená jedna zrejmá otázka: Ktoré spoločnosti budú musieť dodržiavať? „Je dôležité si uvedomiť, že návrh zákona sa vzťahuje len na ‚subjekty, ktoré vlastnia alebo prevádzkujú kritickú infraštruktúru‘,“ povedal Liska pre Cointelegraph. Aj keď by to mohlo zahŕňať desiatky tisíc organizácií v 16 sektoroch, „táto požiadavka sa stále vzťahuje len na malý zlomok organizácií v Spojených štátoch“.
Ale možno nie. Podľa Bipulovi Sinhovi, generálnemu riaditeľovi a spoluzakladateľovi spoločnosti Rubrik, ktorá sa zaoberá bezpečnosťou údajov, sektory infraštruktúry uvedené v zákone zahrnúť finančné služby, IT, energetika, zdravotníctvo, doprava, výrobné a obchodné zariadenia. "Inými slovami, takmer každý," napísal vo Fortune článok nedávno.
Ďalšia otázka: Musí sa hlásiť každý útok, dokonca aj ten, ktorý sa považuje za relatívne triviálny? Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry, kde budú spoločnosti podávať správy, sa nedávno vyjadrila, že aj malé činy možno považovať za oznamovateľné. „Vzhľadom na hroziace riziko ruských kybernetických útokov […] by každý incident mohol poskytnúť dôležité omrvinky vedúce k sofistikovanému útočníkovi,“ New York Times hlásené.
Je správne predpokladať, že kvôli vojne je potreba preventívnych opatrení naliehavejšia? Prezident Joe Biden, okrem iného, napokon zvýšil pravdepodobnosť odvetných kybernetických útokov zo strany ruskej vlády. Liška si však nemyslí, že táto obava sa prevalila – aspoň zatiaľ nie:
„Zdá sa, že odvetné ransomvérové útoky po ruskej invázii na Ukrajinu sa neuskutočnili. Ako vo väčšine vojny, aj tu bola slabá koordinácia zo strany Ruska, takže žiadne skupiny ransomvéru, ktoré mohli byť mobilizované, neboli.
Napriek tomu takmer tri štvrtiny všetkých peňazí zarobených prostredníctvom ransomvérových útokov v roku 2021 smerovali k hackerom spojeným s Ruskom, podľa na reťazovú analýzu, takže nemožno vylúčiť, že sa odtiaľ zvýši aktivita.
Nie je to samostatné riešenie
Algoritmy strojového učenia, ktoré identifikujú a sledujú aktérov ransomvéru, ktorí hľadajú platbu blockchainom – a takmer všetok ransomvér podporuje blockchain – sa teraz nepochybne zlepšia, povedal Bieda. Riešenia strojového učenia sú však iba „jedným z faktorov podporujúcich analýzu blockchainu a nie samostatným riešením“. Stále existuje kritická potreba „širokej spolupráce v tomto odvetví medzi orgánmi činnými v trestnom konaní, spoločnosťami zaoberajúcimi sa skúmaním blockchainu, poskytovateľmi služieb virtuálnych aktív a, samozrejme, obeťami podvodov v blockchaine“.
Dalal dodal, že zostáva veľa technických problémov, väčšinou výsledkom jedinečnej povahy pseudoanonymity, čo Cointelegraphu vysvetľuje:
„Väčšina verejných blockchainov nemá povolenia a používatelia si môžu vytvoriť toľko adries, koľko chcú. Transakcie sa stávajú ešte zložitejšími, pretože existujú tumblery a iné miešacie služby, ktoré dokážu miešať pokazené peniaze s mnohými ďalšími. To zvyšuje kombinatorickú zložitosť identifikácie páchateľov skrývajúcich sa za viacerými adresami.“
Väčší pokrok?
Zdá sa však, že veci sa uberajú správnym smerom. "Myslím si, že ako odvetvie robíme významný pokrok," dodal Liška, "a podarilo sa nám to pomerne rýchlo." Množstvo spoločností robí v tejto oblasti veľmi inovatívnu prácu „a ministerstvo financií a ďalšie vládne agentúry tiež začínajú vidieť hodnotu analýzy blockchainu.“
Na druhej strane, zatiaľ čo analýza blockchainu zjavne robí pokroky, „momentálne sa zarába toľko peňazí na ransomvéri a krádeži kryptomien, že dokonca aj vplyv tejto práce je v porovnaní s celkovým problémom bledý,“ dodal Liska.
Aj keď Bieda vidí pokrok, stále bude výzvou prinútiť firmy, aby nahlásili podvody s blockchainom, najmä mimo Spojených štátov. „Za posledné dva roky sa viac ako 11,000 XNUMX obetí podvodov v blockchaine dostalo k Coinfirm prostredníctvom našej webovej stránky Reclaim Crypto,“ povedal. "Jedna z otázok, ktoré kladieme, je: "Nahlásili ste krádež orgánom činným v trestnom konaní?" – a mnohé obete tak neurobili.“
Dalal povedal, že mandát vlády je dôležitým krokom správnym smerom. „Toto určite zmení hru,“ povedal pre Cointelegraph, keďže útočníci nebudú môcť zopakovať používanie svojich obľúbených techník, „a budú sa musieť pohybovať oveľa rýchlejšie, aby zaútočili na viacero cieľov. Zníži to aj stigmu spojenú s útokmi a potenciálne obete sa budú môcť lepšie chrániť.“
Zdroj: https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analysis