Το 2020 ήταν έτος ρεκόρ για πληρωμές ransomware (692 εκατομμύρια δολάρια) και το 2021 θα είναι πιθανώς υψηλότερο όταν όλα τα δεδομένα είναι μέσα, Chainalysis πρόσφατα αναφερθεί. Επιπλέον, με το ξέσπασμα του πολέμου Ουκρανίας-Ρωσίας, η χρήση του ransomware ως γεωπολιτικού εργαλείου —όχι απλώς αρπαγή χρημάτων— αναμένεται επίσης να αυξηθεί.
Ωστόσο, ένας νέος νόμος των ΗΠΑ θα μπορούσε να ανακόψει αυτό το αυξανόμενο κύμα εκβιαστών. Ο πρόεδρος των Ηνωμένων Πολιτειών Τζο Μπάιντεν πρόσφατα υπογραφεί ενισχύει τον νόμο για την αμερικανική κυβερνοασφάλεια ή το νομοσχέδιο Peters, που απαιτεί από τις εταιρείες υποδομής να αναφέρουν στην κυβέρνηση σημαντικές επιθέσεις στον κυβερνοχώρο εντός 72 ωρών και εντός 24 ωρών εάν πραγματοποιήσουν πληρωμή ransomware.
Γιατί είναι σημαντικό? Η ανάλυση Blockchain έχει αποδειχθεί ολοένα και πιο αποτελεσματική στη διακοπή των δικτύων ransomware, όπως φαίνεται στην υπόθεση Colonial Pipeline πέρυσι, όπου το Υπουργείο Δικαιοσύνης μπόρεσε να ανάκτηση 2.3 εκατομμύρια δολάρια από το σύνολο που κατέβαλε μια εταιρεία αγωγών σε ένα κύκλωμα ransomware.
Ωστόσο, για να διατηρηθεί αυτή η θετική τάση, χρειάζονται περισσότερα δεδομένα και πρέπει να παρέχονται με πιο έγκαιρο τρόπο, ιδιαίτερα οι διευθύνσεις κρυπτογράφησης των κακοποιών, καθώς σχεδόν όλες οι επιθέσεις ransomware εμπλέκω κρυπτονομίσματα που βασίζονται σε blockchain, συνήθως Bitcoin (BTC).
Εδώ θα πρέπει να βοηθήσει ο νέος νόμος, επειδή, μέχρι τώρα, τα θύματα ransomware σπάνια αναφέρουν τον εκβιασμό στις κυβερνητικές αρχές ή σε άλλους.
«Θα είναι πολύ χρήσιμο», δήλωσε στην Cointelegraph ο Roman Bieda, επικεφαλής ερευνών για απάτη στην Coinfirm. «Η δυνατότητα άμεσης «σήμανσης» συγκεκριμένων νομισμάτων, διευθύνσεων ή συναλλαγών ως «επικίνδυνων» […] επιτρέπει σε όλους τους χρήστες να εντοπίζουν τον κίνδυνο ακόμη και πριν από οποιαδήποτε απόπειρα ξεπλύματος.
«Θα βοηθήσει απολύτως στην ανάλυση από εγκληματολογικούς ερευνητές του blockchain», είπε στην Cointelegraph ο Allan Liska, ανώτερος αναλυτής πληροφοριών στο Recorded Future. «Ενώ οι ομάδες ransomware συχνά αλλάζουν πορτοφόλια για κάθε επίθεση ransomware, αυτά τα χρήματα τελικά επιστρέφουν σε ένα μόνο πορτοφόλι. Οι ερευνητές του Blockchain έχουν γίνει πολύ καλοί στη σύνδεση αυτών των κουκκίδων». Κατάφεραν να το κάνουν αυτό παρά την ανάμειξη και άλλες τακτικές που χρησιμοποιούν τα κυκλώματα ransomware και οι συνομοσπονδίες τους που ξεπλύνουν χρήματα, πρόσθεσε.
Ο Siddhartha Dalal, καθηγητής επαγγελματικής πρακτικής στο Πανεπιστήμιο Columbia, συμφώνησε. Πέρυσι, ο Dalal συνέγραψε μια εργασία με τίτλο "Identifying Ransomware Actors In The Bitcoin Network" που περιέγραφε πώς αυτός και οι συνεργάτες του ερευνητές μπόρεσαν να χρησιμοποιήσουν αλγόριθμους μηχανικής μάθησης γραφημάτων και ανάλυση blockchain για να εντοπίσουν τους εισβολείς ransomware με "85% ακρίβεια πρόβλεψης στο σύνολο δεδομένων δοκιμής".
Ενώ τα αποτελέσματά τους ήταν ενθαρρυντικά, οι συγγραφείς δήλωσαν ότι θα μπορούσαν να επιτύχουν ακόμη καλύτερη ακρίβεια βελτιώνοντας περαιτέρω τους αλγόριθμούς τους και, κριτικά, «λαμβάνοντας περισσότερα δεδομένα που είναι πιο αξιόπιστα».
Η πρόκληση για τους εγκληματολογικούς μοντελιστές εδώ είναι ότι εργάζονται με εξαιρετικά ανισόρροπα ή λοξά δεδομένα. Οι ερευνητές του Πανεπιστημίου Κολούμπια μπόρεσαν να αντλήσουν από 400 εκατομμύρια συναλλαγές Bitcoin και κοντά σε 40 εκατομμύρια διευθύνσεις Bitcoin, αλλά μόνο 143 από αυτές ήταν επιβεβαιωμένες διευθύνσεις ransomware. Με άλλα λόγια, οι συναλλαγές χωρίς απάτη αντιστάθμισαν κατά πολύ τις δόλιες συναλλαγές. Με τόσο λοξά δεδομένα, το μοντέλο είτε θα σημειώσει πολλά ψευδώς θετικά στοιχεία είτε θα παραλείψει τα δόλια δεδομένα ως ένα μικρό ποσοστό.
Η Bieda της Coinfirm παρείχε ένα παράδειγμα αυτού του προβλήματος σε συνέντευξή του πέρυσι:
«Ας πούμε ότι θέλετε να φτιάξετε ένα μοντέλο που θα βγάζει φωτογραφίες σκύλων από μια συλλογή φωτογραφιών γατών, αλλά έχετε ένα σύνολο δεδομένων εκπαίδευσης με 1,000 φωτογραφίες γάτας και μόνο μία φωτογραφία σκύλου. Ένα μοντέλο μηχανικής εκμάθησης «θα μάθαινε ότι είναι εντάξει να αντιμετωπίζονται όλες οι φωτογραφίες ως φωτογραφίες γάτας καθώς το περιθώριο σφάλματος είναι [μόνο] 0.001».
Διαφορετικά, ο αλγόριθμος «απλώς θα μάντευε τη «γάτα» όλη την ώρα, κάτι που θα καθιστούσε το μοντέλο άχρηστο, φυσικά, ακόμη και αν είχε υψηλή βαθμολογία σε συνολική ακρίβεια».
Ο Dalal ρωτήθηκε εάν αυτή η νέα νομοθεσία των ΗΠΑ θα βοηθούσε στην επέκταση του δημόσιου δεδομένων των «δόλιων» διευθύνσεων Bitcoin και κρυπτογράφησης που απαιτούνται για μια πιο αποτελεσματική ανάλυση blockchain των δικτύων ransomware.
«Δεν τίθεται θέμα», είπε ο Νταλάλ στην Cointelegraph. "Φυσικά, περισσότερα δεδομένα είναι πάντα καλά για οποιαδήποτε ανάλυση." Αλλά ακόμη πιο σημαντικό, βάσει νόμου, οι πληρωμές ransomware θα αποκαλυφθούν τώρα μέσα σε μια περίοδο 24 ωρών, κάτι που επιτρέπει «μια καλύτερη ευκαιρία για ανάκτηση και επίσης δυνατότητες αναγνώρισης διακομιστών και μεθόδων επίθεσης, ώστε άλλα πιθανά θύματα να μπορούν να λάβουν αμυντικά μέτρα για να προστατέψτε τους», πρόσθεσε. Αυτό συμβαίνει επειδή οι περισσότεροι δράστες χρησιμοποιούν το ίδιο κακόβουλο λογισμικό για να επιτεθούν σε άλλα θύματα.
Ένα υποχρησιμοποιημένο ιατροδικαστικό εργαλείο
Γενικά δεν είναι γνωστό ότι οι αρχές επιβολής του νόμου επωφελούνται όταν οι εγκληματίες χρησιμοποιούν κρυπτονομίσματα για να χρηματοδοτήσουν τις δραστηριότητές τους. «Μπορείτε να χρησιμοποιήσετε την ανάλυση blockchain για να αποκαλύψετε ολόκληρη την εφοδιαστική αλυσίδα λειτουργίας τους», δήλωσε η Kimberly Grauer, διευθύντρια έρευνας στο Chainalysis. "Μπορείτε να δείτε πού αγοράζουν την αλεξίσφαιρη φιλοξενία τους, πού αγοράζουν το κακόβουλο λογισμικό τους, τη θυγατρική τους με έδρα τον Καναδά" και ούτω καθεξής. "Μπορείτε να πάρετε πολλές πληροφορίες για αυτές τις ομάδες" μέσω ανάλυσης blockchain, πρόσθεσε σε πρόσφατο Στρογγυλό Τραπέζι της Chainalysis Media στη Νέα Υόρκη.
Αλλά, θα βοηθήσει πραγματικά αυτός ο νόμος, ο οποίος θα πάρει ακόμα μήνες για να εφαρμοστεί; «Είναι θετικό, θα βοηθούσε», απάντησε στην ίδια εκδήλωση ο Salman Banaei, συνεπικεφαλής δημόσιας πολιτικής στο Chainalysis. «Το υποστηρίξαμε, αλλά δεν ήταν σαν να πετάγαμε στα τυφλά πριν». Θα έκανε τις ιατροδικαστικές προσπάθειές τους σημαντικά πιο αποτελεσματικές; "Δεν ξέρω αν θα μας έκανε πολύ πιο αποτελεσματικούς, αλλά θα περιμέναμε κάποια βελτίωση όσον αφορά την κάλυψη δεδομένων."
Υπάρχουν ακόμη λεπτομέρειες που πρέπει να διευθετηθούν στη διαδικασία θέσπισης κανόνων πριν από την εφαρμογή του νόμου, αλλά ένα προφανές ερώτημα έχει ήδη τεθεί: Ποιες εταιρείες θα πρέπει να συμμορφωθούν; «Είναι σημαντικό να θυμόμαστε ότι το νομοσχέδιο ισχύει μόνο για «οντότητες που κατέχουν ή διαχειρίζονται υποδομές ζωτικής σημασίας», είπε η Λίσκα στην Cointelegraph. Αν και αυτό θα μπορούσε να περιλαμβάνει δεκάδες χιλιάδες οργανισμούς σε 16 τομείς, «αυτή η απαίτηση εξακολουθεί να ισχύει μόνο για ένα μικρό κλάσμα οργανισμών στις Ηνωμένες Πολιτείες».
Αλλά, ίσως όχι. Σύμφωνα με στον Bipul Sinha, Διευθύνοντα Σύμβουλο και συνιδρυτή της Rubrik, μιας εταιρείας ασφάλειας δεδομένων, των τομέων υποδομής που αναφέρονται στο νόμο περιλαμβάνουν χρηματοοικονομικές υπηρεσίες, πληροφορική, ενέργεια, υγειονομική περίθαλψη, μεταφορές, μεταποιητικές και εμπορικές εγκαταστάσεις. «Με άλλα λόγια, σχεδόν όλοι», έγραψε στο Fortune άρθρο πρόσφατα.
Μια άλλη ερώτηση: Πρέπει να αναφέρεται κάθε επίθεση, ακόμη και εκείνες που θεωρούνται σχετικά ασήμαντες; Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής, όπου θα υποβάλλουν αναφορές οι εταιρείες, σχολίασε πρόσφατα ότι ακόμη και μικρές πράξεις μπορεί να θεωρηθούν ότι μπορούν να αναφερθούν. «Λόγω του διαφαινόμενου κινδύνου ρωσικών επιθέσεων στον κυβερνοχώρο […], οποιοδήποτε περιστατικό θα μπορούσε να δημιουργήσει σημαντικά ψίχουλα ψωμιού που θα οδηγούσε σε έναν περίπλοκο εισβολέα», οι New York Times αναφερθεί.
Είναι σωστό να υποθέσουμε ότι ο πόλεμος καθιστά πιο επιτακτική την ανάγκη λήψης προληπτικών ενεργειών; Ο πρόεδρος Τζο Μπάιντεν, μεταξύ άλλων, έχει εγείρει την πιθανότητα αντίποινων κυβερνοεπιθέσεων από τη ρωσική κυβέρνηση, τελικά. Όμως, η Λίσκα δεν πιστεύει ότι αυτή η ανησυχία έχει ξεπεραστεί — όχι ακόμη, τουλάχιστον:
«Οι επιθέσεις αντιποίνων ransomware μετά τη ρωσική εισβολή στην Ουκρανία δεν φαίνεται να έχουν υλοποιηθεί. Όπως και σε μεγάλο μέρος του πολέμου, υπήρχε ανεπαρκής συντονισμός από την πλευρά της Ρωσίας, επομένως όποιες ομάδες ransomware θα μπορούσαν να είχαν κινητοποιηθεί δεν κινητοποιήθηκαν».
Ωστόσο, σχεδόν τα τρία τέταρτα όλων των χρημάτων που βγήκαν μέσω επιθέσεων ransomware πήγαν σε χάκερ που συνδέονται με τη Ρωσία το 2021. σύμφωνα με στο Chainalysis, επομένως δεν μπορεί να αποκλειστεί μια αύξηση της δραστηριότητας από εκεί.
Δεν είναι μια αυτόνομη λύση
Οι αλγόριθμοι μηχανικής μάθησης που εντοπίζουν και παρακολουθούν τους φορείς ransomware που αναζητούν πληρωμές μέσω blockchain - και σχεδόν όλα τα ransomware είναι ενεργοποιημένα με blockchain - αναμφίβολα θα βελτιωθούν τώρα, είπε ο Bieda. Ωστόσο, οι λύσεις μηχανικής μάθησης είναι μόνο «ένας από τους παράγοντες που υποστηρίζουν την ανάλυση blockchain και όχι μια αυτόνομη λύση». Υπάρχει ακόμη μια κρίσιμη ανάγκη «για ευρεία συνεργασία στον κλάδο μεταξύ των αρχών επιβολής του νόμου, των εταιρειών έρευνας blockchain, των παρόχων υπηρεσιών εικονικών περιουσιακών στοιχείων και, φυσικά, των θυμάτων απάτης στο blockchain».
Ο Νταλάλ πρόσθεσε ότι εξακολουθούν να υπάρχουν πολλές τεχνικές προκλήσεις, κυρίως το αποτέλεσμα της μοναδικής φύσης της ψευδο-ανωνυμίας, εξηγώντας στην Cointelegraph:
«Τα περισσότερα δημόσια blockchain δεν έχουν άδεια και οι χρήστες μπορούν να δημιουργήσουν όσες διευθύνσεις θέλουν. Οι συναλλαγές γίνονται ακόμη πιο περίπλοκες αφού υπάρχουν ποτήρια και άλλες υπηρεσίες ανάμειξης που μπορούν να αναμειγνύουν μολυσμένα χρήματα με πολλά άλλα. Αυτό αυξάνει τη συνδυαστική πολυπλοκότητα του εντοπισμού των δραστών που κρύβονται πίσω από πολλές διευθύνσεις».
Περισσότερη πρόοδος;
Ωστόσο, τα πράγματα δείχνουν να κινούνται προς τη σωστή κατεύθυνση. «Πιστεύω ότι σημειώνουμε σημαντική πρόοδο ως βιομηχανία», πρόσθεσε η Λίσκα, «και το κάναμε σχετικά γρήγορα». Ορισμένες εταιρείες έχουν κάνει πολύ καινοτόμο έργο σε αυτόν τον τομέα, «και το Υπουργείο Οικονομικών και άλλοι κρατικοί φορείς αρχίζουν επίσης να βλέπουν την αξία στην ανάλυση blockchain».
Από την άλλη πλευρά, ενώ η ανάλυση του blockchain κάνει ξεκάθαρα βήματα προόδου, «γίνονται τόσα πολλά χρήματα από ransomware και κλοπή κρυπτονομισμάτων αυτή τη στιγμή που ακόμη και ο αντίκτυπος που έχει αυτή η εργασία είναι ωχρός σε σύγκριση με το συνολικό πρόβλημα», πρόσθεσε η Liska.
Ενώ η Bieda βλέπει πρόοδο, θα εξακολουθεί να είναι μια πρόκληση να αναγκαστούν οι εταιρείες να αναφέρουν απάτη μέσω blockchain, ειδικά εκτός των Ηνωμένων Πολιτειών. «Τα τελευταία δύο χρόνια, περισσότερα από 11,000 θύματα απάτης στο blockchain έφτασαν στην Coinfirm μέσω του ιστότοπού μας Reclaim Crypto», είπε. «Μία από τις ερωτήσεις που θέτουμε είναι, "Έχετε αναφέρει την κλοπή στις αρχές επιβολής του νόμου;" — και πολλά θύματα δεν το είχαν κάνει».
Ο Νταλάλ είπε ότι η κυβερνητική εντολή είναι ένα σημαντικό βήμα προς τη σωστή κατεύθυνση. «Αυτό σίγουρα θα αλλάξει το παιχνίδι», είπε στην Cointelegraph, καθώς οι επιτιθέμενοι δεν θα μπορούν να επαναλάβουν τη χρήση των τεχνικών που προτιμούν, «και θα πρέπει να κινηθούν πολύ πιο γρήγορα για να επιτεθούν σε πολλούς στόχους. Θα μειώσει επίσης το στίγμα που συνδέεται με τις επιθέσεις και τα πιθανά θύματα θα μπορούν να προστατεύονται καλύτερα».
Πηγή: https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analysis