Vuosi 2020 oli kiristysohjelmien maksujen ennätysvuosi (692 miljoonaa dollaria), ja vuosi 2021 on todennäköisesti korkeampi, kun kaikki tiedot ovat saatavilla, Chainalysis äskettäin raportoitu. Lisäksi Ukrainan ja Venäjän välisen sodan puhjettua ransomwaren käytön geopoliittisena työkaluna – ei vain rahannappauksena – odotetaan myös kasvavan.
Mutta uusi Yhdysvaltain laki voisi pysäyttää tämän nousevan kiristyksen. Yhdysvaltain presidentti Joe Biden äskettäin allekirjoitettu laiksi Strengthening American Cybersecurity Act tai Petersin laki, joka vaatii infrastruktuuriyrityksiä raportoimaan hallitukselle merkittävistä kyberhyökkäyksistä 72 tunnin sisällä ja 24 tunnin kuluessa, jos ne suorittavat lunnasohjelmamaksun.
Miksi tämä on tärkeää? Blockchain-analyysi on osoittautunut yhä tehokkaammaksi lunnasohjelmaverkkojen katkaisemisessa, kuten nähtiin viime vuonna Colonial Pipeline -tapauksessa, jossa oikeusministeriö pystyi toipua 2.3 miljoonaa dollaria kokonaissummasta, jonka putkiyhtiö maksoi kiristysohjelmarenkaalle.
Mutta tämän positiivisen suuntauksen ylläpitämiseksi tarvitaan enemmän dataa ja se on toimitettava oikea-aikaisemmin, erityisesti pahantekijöiden krypto-osoitteet, koska lähes kaikki lunnasohjelmahyökkäykset aiheuttaa blockchain-pohjaiset kryptovaluutat, yleensä Bitcoin (BTC).
Tässä uuden lain pitäisi auttaa, koska tähän asti kiristysohjelmien uhrit ilmoittavat harvoin viranomaisille tai muille.
"Se on erittäin hyödyllistä", Roman Bieda, Coinfirm-petostutkinnan johtaja, kertoi Cointelegraphille. "Mahdollisuus "merkitä" tietyt kolikot, osoitteet tai tapahtumat välittömästi "riskialttiiksi" antaa kaikille käyttäjille mahdollisuuden havaita riskin jo ennen pesuyritystä."
"Se auttaa ehdottomasti blockchain-rikosteknisten tutkijoiden analyyseissa", Recorded Future -yhtiön vanhempi tiedusteluanalyytikko Allan Liska kertoi Cointelegraphille. "Vaikka kiristysohjelmaryhmät usein vaihtavat lompakkonsa jokaista kiristysohjelmahyökkäystä varten, rahat virtaavat lopulta takaisin yhteen lompakkoon. Lohkoketjututkijat ovat saaneet erittäin hyviä yhdistämään nämä pisteet. Hän lisäsi, että he ovat pystyneet tekemään tämän sekoituksista ja muista ransomware-renkaiden ja niiden rahanpesijöiden käyttämistä taktiikoista huolimatta.
Columbian yliopiston ammatillisen käytännön professori Siddhartha Dalal oli samaa mieltä. Viime vuonna Dalal oli mukana kirjoittamassa paperia nimeltään "Identifying Ransomware Actors In The Bitcoin Network", jossa kuvattiin, kuinka hän ja hänen tutkijatoverinsa pystyivät käyttämään kaavioiden koneoppimisalgoritmeja ja lohkoketjuanalyysiä tunnistaakseen kiristysohjelmien hyökkääjät "85 %:n ennustetarkkuudella testitietojoukossa".
Vaikka heidän tulokset olivat rohkaisevia, kirjoittajat totesivat, että he voisivat saavuttaa vielä paremman tarkkuuden parantamalla algoritmejaan edelleen ja kriittisesti "saamalla enemmän tietoa, joka on luotettavampaa".
Oikeuslääketieteellisten mallintajien haasteena on se, että he työskentelevät erittäin epätasapainoisen tai vääristyneen tiedon kanssa. Columbian yliopiston tutkijat pystyivät hyödyntämään 400 miljoonaa Bitcoin-tapahtumaa ja lähes 40 miljoonaa Bitcoin-osoitetta, mutta vain 143 näistä oli vahvistettuja kiristysohjelmaosoitteita. Toisin sanoen petostapahtumat olivat paljon suuremmat kuin vilpilliset liiketoimet. Jos tiedot ovat näin vinossa, malli joko merkitsee paljon vääriä positiivisia tuloksia tai jättää vilpilliset tiedot pois vähäisen prosenttiosuuden.
Coinfirm's Bieda toimitti an esimerkki tästä ongelmasta haastattelussa viime vuonna:
"Sanotaan, että haluat rakentaa mallin, joka poimii kuvia koirista kissavalokuvista, mutta sinulla on koulutustietojoukko, jossa on 1,000 0.001 kissakuvaa ja vain yksi koirakuva. Koneoppimismalli "oppisi, että kaikkia kuvia saa käsitellä kissakuvina, koska virhemarginaali on [vain] XNUMX".
Toisin sanoen algoritmi "vain arvaisi "kissa" koko ajan, mikä tekisi mallista tietysti hyödyttömän, vaikka se saikin korkean kokonaistarkkuuden."
Dalalilta kysyttiin, auttaisiko tämä uusi Yhdysvaltain lainsäädäntö laajentamaan "vilpillisten" Bitcoin- ja krypto-osoitteiden julkista tietojoukkoa, jota tarvitaan kiristysohjelmaverkkojen tehokkaampaan lohkoketjuanalyysiin.
"Siitä ei ole epäilystäkään", Dalal sanoi Cointelegraphille. "Tietenkin enemmän dataa on aina hyvä kaikkiin analyyseihin." Mutta mikä vielä tärkeämpää on, lain mukaan lunnasohjelmamaksut paljastetaan nyt 24 tunnin sisällä, mikä mahdollistaa "paremman toipumismahdollisuuden sekä mahdollisuuden tunnistaa palvelimia ja hyökkäysmenetelmiä, jotta muut mahdolliset uhrit voivat ryhtyä puolustustoimiin suojella heitä", hän lisäsi. Tämä johtuu siitä, että useimmat tekijät käyttävät samaa haittaohjelmaa hyökätäkseen muiden uhrien kimppuun.
Vähän käytetty rikostekninen työkalu
Ei yleensä tiedetä, että lainvalvontaviranomaiset hyötyvät, kun rikolliset käyttävät kryptovaluuttoja toimintansa rahoittamiseen. "Voit käyttää lohkoketjuanalyysiä paljastamaan heidän koko toimitusketjunsa", sanoi Kimberly Grauer, Chainalysisin tutkimusjohtaja. "Näet, mistä he ostavat luodinkestävää isännöintiään, mistä he ostavat haittaohjelmiaan, heidän Kanadassa sijaitsevan tytäryhtiönsä" ja niin edelleen. "Näistä ryhmistä voi saada paljon oivalluksia" blockchain-analyysin kautta, hän lisäsi äskettäin New Yorkissa pidetyssä Chainalysis Media Roundtableissa.
Mutta auttaako tämä laki, jonka täytäntöönpano kestää vielä kuukausia, todella? "Se on positiivista, se auttaisi", Salman Banaei, Chainalysisin julkisen politiikan johtaja, vastasi samassa tapahtumassa. "Puostimme sitä, mutta ei ole kuin olisimme lentäneet sokeina aiemmin." Tehostaako se heidän rikosteknisiä toimiaan merkittävästi? "En tiedä, tekisikö se meistä paljon tehokkaampia, mutta odotamme jonkin verran parannusta tiedon kattavuuden suhteen."
Yksityiskohtia on vielä selvitettävä sääntöprosessissa ennen lain voimaantuloa, mutta yksi ilmeinen kysymys on jo noussut esiin: Minkä yritysten on noudatettava sääntöjä? "On tärkeää muistaa, että lakiehdotus koskee vain "yhteisöjä, jotka omistavat tai käyttävät kriittistä infrastruktuuria", Liska sanoi Cointelegraphille. Vaikka se voi sisältää kymmeniä tuhansia organisaatioita 16 sektorilta, "tämä vaatimus koskee silti vain pientä osaa organisaatioista Yhdysvalloissa."
Mutta ehkä ei. Mukaan Tietoturvayhtiö Rubrikin toimitusjohtajalle ja perustajalle Bipul Sinhalle laissa mainitut infrastruktuurin osa-alueet sisältää rahoituspalvelut, IT, energia, terveydenhuolto, kuljetus, valmistus ja kaupalliset tilat. "Toisin sanoen melkein kaikki", hän kirjoitti Fortune-lehdessä artikkeli äskettäin.
Toinen kysymys: Onko jokaisesta hyökkäyksestä raportoitava, myös suhteellisen vähäpätöisiksi katsotuista? Kyberturvallisuus- ja infrastruktuurivirasto, johon yritykset raportoivat, kommentoi äskettäin, että pienetkin teot voidaan katsoa raportoitaviksi. "Venäläisten kyberhyökkäysten uhkaavan riskin vuoksi kaikki tapahtumat voivat tarjota tärkeitä leivänmuruja, jotka johtavat hienostuneeseen hyökkääjään", New York Times raportoitu.
Onko oikein olettaa, että sota tekee ennaltaehkäisevien toimien tarpeen kiireellisemmäksi? Presidentti Joe Biden on muun muassa nostanut Venäjän hallituksen vastatoimien kyberhyökkäysten todennäköisyyttä. Mutta Liska ei usko, että tämä huoli on laantunut – ei ainakaan vielä:
”Väijän Ukrainan hyökkäyksen jälkeiset kosto- kiristysohjelmahyökkäykset eivät näytä toteutuneen. Kuten suuren osan sodasta, Venäjä oli huonosti koordinoitunut, joten mahdolliset lunnasohjelmaryhmät eivät olleet mobilisoituja."
Silti lähes kolme neljäsosaa kaikista ransomware-hyökkäysten kautta ansaitusta rahasta meni Venäjään liittyville hakkereille vuonna 2021, mukaan ketjuanalyysiin, joten aktiviteetin lisäämistä sieltä ei voida sulkea pois.
Ei itsenäinen ratkaisu
Koneoppimisalgoritmit, jotka tunnistavat ja seuraavat lohkoketjumaksua hakevia kiristyshaittaohjelmia – ja lähes kaikki kiristysohjelmat ovat lohkoketjun käytössä – paranevat epäilemättä nyt, Bieda sanoi. Mutta koneoppimisratkaisut ovat vain "yksi lohkoketjuanalyysiä tukevista tekijöistä, eivätkä erillinen ratkaisu". Edelleen on kriittinen tarve "laajalle yhteistyölle alalla lainvalvontaviranomaisten, lohkoketjututkintayritysten, virtuaalisen omaisuuden palveluntarjoajien ja tietysti lohkoketjun petosten uhrien välillä."
Dalal lisäsi, että monet tekniset haasteet ovat edelleen, lähinnä pseudo-anonymiteetin ainutlaatuisen luonteen seurauksena, ja selittää Cointelegraphille:
"Useimmat julkiset lohkoketjut ovat luvattomia ja käyttäjät voivat luoda niin monta osoitetta kuin haluavat. Liiketoimista tulee entistä monimutkaisempia, koska on juomalasit ja muut sekoituspalvelut, jotka voivat sekoittaa pilaantunutta rahaa monien muiden kanssa. Tämä lisää useiden osoitteiden taakse piiloutuneiden tekijöiden tunnistamisen kombinatorista monimutkaisuutta."
Lisää edistystä?
Asiat näyttävät kuitenkin etenevän oikeaan suuntaan. "Uskon, että edistymme merkittävästi toimialana", lisäsi Liska, "ja olemme tehneet sen suhteellisen nopeasti." Useat yritykset ovat tehneet erittäin innovatiivista työtä tällä alueella, "ja myös valtiovarainministeriö ja muut valtion virastot alkavat nähdä lohkoketjuanalyysin arvon."
Toisaalta, vaikka lohkoketjuanalyysi edistyy selvästi, "lunnasohjelmilla ja kryptovaluuttavarkauksilla tehdään tällä hetkellä niin paljon rahaa, että jopa tämän työn vaikutus haalistuu kokonaisongelmaan verrattuna", Liska lisäsi.
Vaikka Bieda näkee edistystä, on silti haaste saada yrityksiä ilmoittamaan lohkoketjupetoksista, etenkin Yhdysvaltojen ulkopuolella. "Viimeisten kahden vuoden aikana yli 11,000 XNUMX lohkoketjupetoksen uhria on saapunut Coinfirmille Reclaim Crypto -verkkosivustomme kautta", hän sanoi. "Yksi kysymyksistämme on: 'Oletko ilmoittanut varkaudesta lainvalvontaviranomaisille?' - ja monet uhrit eivät olleet."
Dalal sanoi, että hallituksen mandaatti on tärkeä askel oikeaan suuntaan. "Tämä on varmasti pelin muutos", hän kertoi Cointelegraphille, koska hyökkääjät eivät voi toistaa suosimiaan tekniikoita, "ja heidän on liikuttava paljon nopeammin hyökätäkseen useisiin kohteisiin. Se vähentää myös hyökkäyksiin liittyvää leimautumista ja mahdolliset uhrit voivat suojautua paremmin.
Lähde: https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analysis