2020 rekordév volt a zsarolóvírus-fizetések terén (692 millió dollár), és 2021 valószínűleg magasabb lesz, ha minden adat megvan, a Chainalysis nemrég jelentett. Sőt, az ukrán-orosz háború kirobbanásával a ransomware-ek geopolitikai eszközként – nem csak pénzlebegtetésként – való használata is várhatóan növekedni fog.
Egy új amerikai törvény azonban megállíthatja ezt a növekvő zsaroló hullámot. Az Egyesült Államok elnöke, Joe Biden nemrég aláírt törvénybe iktatta az Amerikai kiberbiztonsági törvény megerősítését vagy a Peters-törvényt, amely előírja az infrastrukturális cégeknek, hogy 72 órán belül jelentsék a kormánynak a jelentős kibertámadásokat, és 24 órán belül, ha zsarolóprogramot fizetnek.
Ez miért fontos? A blokklánc-elemzés egyre hatékonyabbnak bizonyult a zsarolóvírus-hálózatok megzavarásában, amint az a tavalyi Colonial Pipeline ügyben is látható, ahol az Igazságügyi Minisztérium képes volt meggyógyul 2.3 millió dollár abból a teljes összegből, amit egy csővezeték-társaság egy zsarolóvírus-gyűrűnek fizetett.
Ennek a pozitív tendenciának a fenntartásához azonban több adatra van szükség, és azokat időben kell megadni, különösen a gonosztevők titkosítási címét, mivel szinte minden ransomware támadás. vonja blokklánc alapú kriptovaluták, általában Bitcoin (BTC).
Ezen kell segíteni az új törvénynek, mert eddig a zsarolóprogramok áldozatai ritkán jelentik be a zsarolást a kormányzati hatóságoknak vagy másoknak.
„Nagyon hasznos lesz” – mondta Roman Bieda, a Coinfirm csalások vizsgálatának vezetője a Cointelegraphnak. „Az adott érmék, címek vagy tranzakciók azonnali „kockázatosként” való „megjelölése” lehetővé teszi, hogy minden felhasználó észrevegye a kockázatot, még minden pénzmosási kísérlet előtt.”
„Abszolút segíti a blokklánc kriminalisztikai kutatók elemzését” – mondta Allan Liska, a Recorded Future vezető hírszerzési elemzője a Cointelegraphnak. „Míg a ransomware-csoportok gyakran cserélnek pénztárcát minden egyes zsarolóvírus-támadásra, ez a pénz végül egyetlen pénztárcába áramlik vissza. A blokklánc kutatói nagyon jól összekötötték ezeket a pontokat.” Ezt annak ellenére tudták megtenni, hogy a ransomware gyűrűk és a szövetségi pénzmosóik keveredtek és más taktikákat alkalmaztak – tette hozzá.
Siddhartha Dalal, a Columbia Egyetem szakmai gyakorlatának professzora egyetértett. Tavaly Dalal társszerzőként írt egy újságot címmel „A zsarolóvírus-szereplők azonosítása a Bitcoin-hálózatban”, amely bemutatta, hogyan tudtak ő és kutatótársai gráfgépi tanulási algoritmusok és blokklánc-elemzés segítségével azonosítani a zsarolóvírus-támadókat „85%-os előrejelzési pontossággal a tesztadatkészleten”.
Noha eredményeik biztatóak voltak, a szerzők kijelentették, hogy még nagyobb pontosságot érhetnek el algoritmusaik továbbfejlesztésével, és kritikus szempontból „több adathoz jutnak, amelyek megbízhatóbbak”.
Az igazságügyi modellezők számára itt az a kihívás, hogy erősen kiegyensúlyozatlan vagy torz adatokkal dolgoznak. A Columbia Egyetem kutatói 400 millió Bitcoin-tranzakciót és közel 40 millió Bitcoin-címet tudtak levonni, de ezek közül csak 143 volt megerősített ransomware-cím. Más szóval, a csalásmentes ügyletek jóval meghaladták a csaló tranzakciókat. Ilyen ferde adatok esetén a modell vagy sok hamis pozitív eredményt jelez, vagy kis százalékban kihagyja a hamis adatokat.
Coinfirm's Bieda nyújtott egy példa erre a problémára egy tavalyi interjúban:
„Tegyük fel, hogy olyan modellt szeretne építeni, amely macskafotóból kinyeri a kutyák fotóit, de van egy képzési adatkészlete 1,000 macskafotóból és csak egy kutyafotóból. Egy gépi tanulási modell „megtanulná, hogy helyes minden fényképet macskaképként kezelni, mivel a hibahatár [csak] 0.001”.
Másképpen fogalmazva, az algoritmus „mindig csak a „macskát” találgatja, ami természetesen használhatatlanná tenné a modellt, még akkor is, ha általános pontossága magas volt.
Dalalt megkérdezték, hogy ez az új amerikai jogszabály segít-e bővíteni a „csalás” Bitcoin- és kriptocímek nyilvános adatkészletét, amely a zsarolóvírus-hálózatok hatékonyabb blokklánc-elemzéséhez szükséges.
„Szó sincs róla” – mondta Dalal a Cointelegraphnak. "Természetesen a több adat mindig jó minden elemzéshez." De ami még ennél is fontosabb, a törvény szerint a zsarolóprogramok kifizetése mostantól 24 órán belül nyilvánosságra kerül, ami „jobb esélyt ad a helyreállításra, valamint a szerverek és a támadási módszerek azonosításának lehetőségét, hogy a többi potenciális áldozat védekező lépéseket tegyen megvédeni őket” – tette hozzá. Ennek az az oka, hogy a legtöbb elkövető ugyanazt a rosszindulatú programot használja más áldozatok megtámadására.
Egy elégtelenül használt törvényszéki eszköz
Általában nem ismert, hogy a bûnüldözésnek haszna van, ha a bûnözõk kriptovalutákat használnak tevékenységeik finanszírozására. „A blokklánc-elemzés segítségével feltárhatja a teljes ellátási láncot” – mondta Kimberly Grauer, a Chainalysis kutatási igazgatója. „Láthatja, hol vásárolják a golyóálló tárhelyüket, hol vásárolják a rosszindulatú programjaikat, a kanadai leányvállalatukat” és így tovább. „Sok betekintést nyerhet ezekbe a csoportokba” blokklánc elemzésen keresztül, tette hozzá egy nemrég New York-i Chainalysis Media Roundtable-n.
De vajon ez a törvény, amelynek végrehajtása még hónapokig tart, valóban segíteni fog? „Pozitív, segítene” – válaszolta Salman Banaei, a Chainalysis közpolitikai részlegének társvezetője ugyanazon az eseményen. „Támogattuk, de nem mintha vakon repültünk volna korábban.” Jelentősen hatékonyabbá tenné a törvényszéki erőfeszítéseiket? „Nem tudom, hogy ez sokkal hatékonyabbá tenne-e bennünket, de az adatlefedettség tekintetében némi javulásra számíthatunk.”
A törvény végrehajtása előtt még vannak részleteket kidolgozni a szabályalkotási folyamatban, de egy nyilvánvaló kérdés már felmerült: mely cégeknek kell megfelelniük? „Fontos emlékezni arra, hogy a törvényjavaslat csak „kritikus infrastruktúrát birtokló vagy üzemeltető szervezetekre” vonatkozik” – mondta Liska a Cointelegraphnak. Bár ez több tízezer szervezetet is magában foglalhat 16 szektorban, „ez a követelmény továbbra is csak az Egyesült Államokban működő szervezetek kis hányadára vonatkozik”.
De talán nem. Szerint Bipul Sinhának, a Rubrik adatbiztonsági cég vezérigazgatójának és társalapítójának, a törvényben említett infrastrukturális ágazatokban tartalmaz pénzügyi szolgáltatások, IT, energia, egészségügy, szállítás, gyártó és kereskedelmi létesítmények. „Más szóval, szinte mindenki” – írta a Fortune-ban cikk nemrég.
Egy másik kérdés: Minden támadást jelenteni kell, még azokat is, amelyeket viszonylag triviálisnak tartanak? A Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség, ahol a cégek jelentést fognak tenni, nemrégiben megjegyezte, hogy még a kis cselekmények is bejelentendőnek minősülhetnek. „Az orosz kibertámadások fenyegető kockázata miatt […] bármely incidens fontos kenyérmorzsát adhat, ami egy kifinomult támadóhoz vezethet” – írja a New York Times. jelentett.
Helyes-e azt feltételezni, hogy a háború sürgetőbbé teszi a megelőző intézkedések megtételét? Többek között Joe Biden elnök is felvetette az orosz kormány megtorló kibertámadásainak valószínűségét. De Liska úgy gondolja, hogy ez az aggodalom még nem múlt el – legalábbis még nem:
„Úgy tűnik, hogy az ukrajnai orosz inváziót követő megtorló ransomware támadások nem valósultak meg. Mint a háború nagy részében, Oroszország részéről rossz volt a koordináció, így az esetlegesen mozgósított ransomware csoportok sem voltak ilyenek.”
Ennek ellenére 2021-ben a zsarolóvírus-támadásokkal megkeresett összes pénz majdnem háromnegyede Oroszországhoz köthető hackerekhez került, szerint a Chainalysis-hez, így nem zárható ki, hogy onnantól feljebb lép az aktivitás.
Nem önálló megoldás
Bieda szerint a gépi tanulási algoritmusok, amelyek azonosítják és nyomon követik a blokklánc-fizetést kérő ransomware-szereplőket – és szinte minden zsarolóprogram blokklánc-engedélyezett –, most kétségtelenül fejlődni fognak. A gépi tanulási megoldások azonban csak „a blokklánc-elemzést támogató tényezők egyike, nem pedig önálló megoldás”. Továbbra is nagy szükség van „széles körű együttműködésre az iparágban a bűnüldöző szervek, a blokklánc-nyomozó cégek, a virtuális eszközök szolgáltatói és természetesen a blokkláncban elkövetett csalások áldozatai között”.
Dalal hozzátette, hogy számos technikai kihívás továbbra is fennáll, főként az ál-anonimitás egyedi természetének eredménye, és a Cointelegraphnak elmagyarázta:
„A legtöbb nyilvános blokklánc engedély nélküli, és a felhasználók annyi címet hozhatnak létre, amennyit akarnak. A tranzakciók még bonyolultabbá válnak, mivel vannak poharacskák és egyéb keverési szolgáltatások, amelyek képesek összekeverni a szennyezett pénzt sok mással. Ez növeli a több cím mögé bújó elkövetők azonosításának kombinatorikus bonyolultságát.”
Több előrelépés?
Ennek ellenére úgy tűnik, a dolgok jó irányba haladnak. „Úgy gondolom, hogy iparágként jelentős előrehaladást érünk el” – tette hozzá Liska –, és ezt viszonylag gyorsan megtettük. Számos vállalat nagyon innovatív munkát végzett ezen a területen, és a Pénzügyminisztérium és más kormányzati szervek is kezdik látni a blokklánc-elemzés értékét.
Másrészt, bár a blokklánc-elemzés egyértelműen halad előre, „annyi pénzt keresnek mostanság zsarolóprogramokból és kriptovaluta-lopásokból, hogy még ennek a munkának a hatása is elhalványul az általános problémához képest” – tette hozzá Liska.
Bár a Bieda előrelépést lát, továbbra is kihívást jelent majd rávenni a cégeket, hogy jelentsék a blokklánc-csalást, különösen az Egyesült Államokon kívül. „Az elmúlt két évben több mint 11,000 XNUMX blokklánc-csalás áldozata jutott el a Coinfirmhez a Reclaim Crypto webhelyünkön keresztül” – mondta. „Az egyik kérdés, amit felteszünk: „Bejelentette a lopást a bűnüldöző szerveknek?” – és sok áldozat nem tette.
Dalal szerint a kormány mandátuma fontos lépés a helyes irányba. "Ez minden bizonnyal megváltoztatja a játékot" - mondta a Cointelegraphnak, mivel a támadók nem fogják tudni megismételni kedvenc technikáikat, "és sokkal gyorsabban kell mozogniuk több célpont megtámadásához. Ez csökkenti a támadásokhoz kapcsolódó megbélyegzést is, és a potenciális áldozatok jobban megvédhetik magukat."
Forrás: https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analysis