Rok 2020 byl rekordní v platbách ransomwaru (692 milionů dolarů) a rok 2021 bude pravděpodobně vyšší, až budou všechna data uložena, Chainalysis nedávno hlášeny. Kromě toho se očekává, že s vypuknutím ukrajinsko-ruské války poroste i používání ransomwaru jako geopolitického nástroje – nejen k získávání peněz.
Ale nový americký zákon by mohl zastavit tento rostoucí příliv vyděračů. Nedávno prezident Spojených států Joe Biden podepsaný do zákona o posílení amerického zákona o kybernetické bezpečnosti neboli Petersův zákon, který vyžaduje, aby společnosti zabývající se infrastrukturou hlásily vládě závažné kybernetické útoky do 72 hodin a do 24 hodin, pokud provedou platbu ransomware.
Proč je toto důležité? Analýza blockchainu se ukázala být stále efektivnější při narušování sítí ransomwaru, jak bylo vidět v případu Colonial Pipeline v loňském roce, kde ministerstvo spravedlnosti dokázalo zotavit se 2.3 milionu dolarů z celkové částky, kterou potrubní společnost zaplatila prstenu ransomwaru.
Ale k udržení tohoto pozitivního trendu je potřeba více dat a musí být poskytnuta včas, zejména krypto adresy zlodějů, protože téměř všechny útoky ransomwaru vyžadovat kryptoměny založené na blockchainu, obvykle bitcoin (BTC).
V tom by měl nový zákon pomoci, protože dosud oběti ransomwaru jen zřídka oznamují vydírání vládním úřadům nebo jiným.
"Bude to velmi užitečné," řekl Cointelegraphu Roman Bieda, vedoucí vyšetřování podvodů ve společnosti Coinfirm. „Schopnost okamžitě ‚označit‘ konkrétní mince, adresy nebo transakce jako ‚rizikové‘ […] umožňuje všem uživatelům rozpoznat riziko ještě před jakýmkoli pokusem o praní.“
„Absolutně to pomůže při analýze forenzními výzkumníky blockchainu,“ řekl Cointelegraphu Allan Liska, senior zpravodajský analytik společnosti Recorded Future. „Zatímco skupiny ransomwaru často vyměňují peněženky pro každý útok ransomwaru, tyto peníze nakonec tečou zpět do jediné peněženky. Výzkumníci blockchainu jsou velmi dobří v propojování těchto bodů.“ Dokázali to udělat navzdory míchání a dalším taktikám, které používají kruhy ransomwaru a jejich konfederační praní špinavých peněz, dodal.
Siddhartha Dalal, profesor odborné praxe na Kolumbijské univerzitě, souhlasil. Minulý rok byl Dalal spoluautorem článku název „Identification Ransomware Actors in the Bitcoin Network“, která popsala, jak on a jeho kolegové výzkumníci dokázali použít algoritmy grafického strojového učení a analýzu blockchainu k identifikaci ransomwarových útočníků s „85% přesností předpovědí na testovacím souboru dat“.
I když byly jejich výsledky povzbudivé, autoři uvedli, že by mohli dosáhnout ještě lepší přesnosti dalším vylepšením svých algoritmů a kriticky „získáním více dat, která jsou spolehlivější“.
Výzvou pro forenzní modeláře je, že pracují s vysoce nevyváženými nebo zkreslenými daty. Výzkumníci z Columbia University dokázali čerpat ze 400 milionů bitcoinových transakcí a téměř 40 milionů bitcoinových adres, ale pouze 143 z nich byly potvrzené adresy ransomwaru. Jinými slovy, nepodvodné transakce daleko převážily podvodné transakce. S takto zkreslenými údaji model buď označí mnoho falešně pozitivních výsledků, nebo vynechá podvodná data jako malé procento.
Coinfirm's Bieda poskytl an příklad tohoto problému v loňském rozhovoru:
„Řekněme, že chcete sestavit model, který vytáhne fotky psů z hromady fotografií koček, ale máte cvičnou datovou sadu s 1,000 0.001 fotografiemi koček a pouze jednou fotografií psa. Model strojového učení „by zjistil, že je v pořádku zacházet se všemi fotkami jako s fotkami koček, protože chybová hranice je [pouze] XNUMX.“
Jinak řečeno, algoritmus by celou dobu „pouze hádal ‚kočku‘, což by samozřejmě znamenalo, že model by byl nepoužitelný, i když by měl vysoké skóre v celkové přesnosti.
Dalal byl dotázán, zda by tato nová americká legislativa pomohla rozšířit veřejný datový soubor „podvodných“ bitcoinových a krypto adres potřebných pro efektivnější blockchainovou analýzu sítí ransomwaru.
"O tom není pochyb," řekl Dalal Cointelegraphu. "Samozřejmě, že více dat je vždy dobré pro jakoukoli analýzu." Ale ještě důležitější je, že ze zákona budou nyní platby ransomwaru odhaleny do 24 hodin, což umožňuje „lepší šanci na obnovu a také možnosti identifikace serverů a metod útoku, aby další potenciální oběti mohly podniknout obranné kroky k chránit je,“ dodal. Je to proto, že většina pachatelů používá stejný malware k útoku na jiné oběti.
Nedostatečně využívaný forenzní nástroj
Obecně není známo, že orgány činné v trestním řízení mají prospěch, když zločinci používají k financování svých aktivit kryptoměny. „Můžete použít analýzu blockchainu k odhalení celého jejich dodavatelského řetězce,“ řekla Kimberly Grauer, ředitelka výzkumu v Chainalysis. „Můžete vidět, kde kupují svůj neprůstřelný hosting, kde kupují svůj malware, jejich pobočku se sídlem v Kanadě“ a tak dále. „O těchto skupinách můžete získat spoustu informací“ prostřednictvím analýzy blockchainu, dodala na nedávném kulatém stole Chainalysis Media v New Yorku.
Pomůže však tento zákon, jehož implementace bude ještě trvat měsíce? "Je to pozitivní, pomohlo by to," odpověděl na stejné akci Salman Banaei, spoluvedoucí veřejné politiky v Chainalysis. "Prosazovali jsme to, ale není to tak, že bychom předtím létali naslepo." Zefektivnilo by to výrazně jejich forenzní úsilí? "Nevím, jestli by nás to výrazně zefektivnilo, ale očekávali bychom určité zlepšení, pokud jde o pokrytí dat."
V procesu tvorby pravidel, než bude zákon implementován, je třeba ještě doladit detaily, ale již byla vznesena jedna zřejmá otázka: Které společnosti se budou muset řídit? „Je důležité si uvědomit, že návrh zákona se vztahuje pouze na ‚subjekty, které vlastní nebo provozují kritickou infrastrukturu‘,“ řekl Liska Cointelegraphu. I když by to mohlo zahrnovat desítky tisíc organizací v 16 sektorech, „tento požadavek se stále vztahuje pouze na malý zlomek organizací ve Spojených státech“.
Ale možná ne. Podle Bipulovi Sinhovi, generálnímu řediteli a spoluzakladateli Rubrik, společnosti zabývající se zabezpečením dat, sektory infrastruktury uvedené v zákoně obsahovat finanční služby, IT, energetika, zdravotnictví, doprava, výrobní a obchodní zařízení. "Jinými slovy, téměř každý," napsal ve Fortune článek nedávno.
Další otázka: Musí být hlášen každý útok, dokonce i ten, který je považován za relativně triviální? Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury, kam budou společnosti podávat zprávy, se nedávno vyjádřila, že i malé činy mohou být považovány za ohlašovatelné. „Vzhledem k hrozícímu riziku ruských kybernetických útoků […] by jakýkoli incident mohl poskytnout důležité drobky, které by vedly k sofistikovanému útočníkovi,“ New York Times hlášeny.
Je správné předpokládat, že kvůli válce je potřeba podniknout preventivní opatření naléhavější? Prezident Joe Biden ostatně mimo jiné zvýšil pravděpodobnost odvetných kybernetických útoků ze strany ruské vlády. Ale Liska si nemyslí, že tato obava vyvrcholila – alespoň zatím ne:
„Nezdá se, že by se odvetné útoky ransomwaru po ruské invazi na Ukrajinu uskutečnily. Stejně jako většina války i zde byla špatná koordinace ze strany Ruska, takže žádné skupiny ransomwaru, které mohly být mobilizovány, nebyly."
Přesto téměř tři čtvrtiny všech peněz vydělaných prostřednictvím ransomwarových útoků v roce 2021 připadly hackerům spojeným s Ruskem, podle k řetězové analýze, takže nelze vyloučit zintenzivnění aktivity odtud.
Není to samostatné řešení
Algoritmy strojového učení, které identifikují a sledují aktéry ransomwaru, kteří hledají platby blockchainem – a téměř veškerý ransomware podporuje blockchain – se nyní bezpochyby zlepší, řekl Bieda. Řešení strojového učení jsou však pouze „jedním z faktorů podporujících analýzu blockchainu, nikoli samostatným řešením“. Stále existuje kritická potřeba „široké spolupráce v tomto odvětví mezi donucovacími orgány, společnostmi zabývajícími se vyšetřováním blockchainu, poskytovateli služeb virtuálních aktiv a samozřejmě oběťmi podvodů v blockchainu“.
Dalal dodal, že zůstává mnoho technických problémů, většinou výsledkem jedinečné povahy pseudoanonymity, což Cointelegraphu vysvětluje:
„Většina veřejných blockchainů je bez oprávnění a uživatelé mohou vytvářet tolik adres, kolik chtějí. Transakce se stávají ještě složitějšími, protože existují tumblery a další mixážní služby, které jsou schopny smíchat pokažené peníze s mnoha dalšími. To zvyšuje kombinatorickou složitost identifikace pachatelů skrývajících se za více adresami.“
Větší pokrok?
Přesto se zdá, že se věci ubírají správným směrem. "Myslím, že jako průmysl děláme významný pokrok," dodal Liska, "a udělali jsme to relativně rychle." Řada společností odvádí v této oblasti velmi inovativní práci „a ministerstvo financí a další vládní agentury také začínají vidět hodnotu v analýze blockchainu.“
Na druhou stranu, zatímco analýza blockchainu zjevně dělá pokroky, „právě teď se vydělává tolik peněz z ransomwaru a krádeží kryptoměn, že dokonce i dopad této práce je ve srovnání s celkovým problémem bledý,“ dodal Liska.
Zatímco Bieda vidí pokrok, bude stále problém přimět firmy, aby hlásily podvody s blockchainem, zejména mimo Spojené státy. „Za poslední dva roky se více než 11,000 XNUMX obětí podvodů v blockchainu dostalo k Coinfirm prostřednictvím našeho webu Reclaim Crypto,“ řekl. "Jedna z otázek, které si klademe, zní: "Nahlásili jste krádež orgánům činným v trestním řízení?" – a mnoho obětí ne.“
Dalal řekl, že vládní mandát je důležitým krokem správným směrem. „Tohle určitě změní hru,“ řekl Cointelegraphu, protože útočníci nebudou moci opakovat použití svých oblíbených technik, „a budou se muset pohybovat mnohem rychleji, aby zaútočili na více cílů. Sníží to také stigma spojené s útoky a potenciální oběti se budou moci lépe chránit.“
Zdroj: https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analysis