Leto 2020 je bilo rekordno leto za plačila izsiljevalne programske opreme (692 milijonov dolarjev), leto 2021 pa bo verjetno višje, ko bodo na voljo vsi podatki, pred kratkim Chainalysis poročali. Poleg tega se pričakuje, da se bo z izbruhom ukrajinsko-ruske vojne povečala tudi uporaba odkupovalne programske opreme kot geopolitičnega orodja – ne le za grabljenje denarja.
Toda nov ameriški zakon bi lahko zaustavil to naraščajočo plimo izsiljevanja. Nedavno predsednik ZDA Joe Biden podpisano Zakon o krepitvi ameriške kibernetske varnosti ali Petersov zakon, ki od infrastrukturnih podjetij zahteva, da v 72 urah in v 24 urah poročajo vladi o znatnih kibernetskih napadih, če plačajo izsiljevalsko programsko opremo.
Zakaj je to pomembno? Analiza Blockchain se je izkazala za vedno bolj učinkovito pri motenju omrežij izsiljevalske programske opreme, kot je bilo razvidno iz lanskega primera Colonial Pipeline, kjer je ministrstvo za pravosodje uspelo opomore 2.3 milijona dolarjev od skupnega zneska, ki ga je cevovodno podjetje plačalo zastopniku izsiljevalske programske opreme.
Toda za ohranitev tega pozitivnega trenda je potrebnih več podatkov in jih je treba zagotoviti bolj pravočasno, zlasti kripto naslove zlonamercev, saj skoraj vsi napadi izsiljevalske programske opreme vključujejo kriptovalute, ki temeljijo na blockchainu, običajno Bitcoin (BTC).
Tu bi moral pomagati novi zakon, saj so žrtve izsiljevalske programske opreme do zdaj le redko prijavile izsiljevanje vladnim organom ali drugim.
"To bo zelo koristno," je za Cointelegraph povedal Roman Bieda, vodja preiskav goljufij pri Coinfirmu. "Možnost takojšnjega 'označevanja' določenih kovancev, naslovov ali transakcij kot 'tveganih' […] omogoča vsem uporabnikom, da odkrijejo tveganje še pred kakršnim koli poskusom pranja."
"Absolutno bo pomagal pri analizi forenzičnih raziskovalcev blockchain," je za Cointelegraph povedal Allan Liska, višji obveščevalni analitik pri Recorded Future. »Medtem ko skupine izsiljevalske programske opreme pogosto zamenjajo denarnice za vsak napad z odkupovalno programsko opremo, se ta denar sčasoma vrne v eno denarnico. Raziskovalci Blockchain so postali zelo dobri pri povezovanju teh pik. To jim je uspelo kljub mešanju in drugim taktikam, ki so jih uporabljali zadrugi izsiljevalske programske opreme in njihovi združeni pralci denarja, je dodal.
Siddhartha Dalal, profesor strokovne prakse na univerzi Columbia, se je strinjal. Lani je Dalal soavtor prispevka z naslovom »Identifikacija akterjev izsiljevalske programske opreme v omrežju Bitcoin«, ki opisuje, kako so on in njegovi kolegi raziskovalci lahko uporabili algoritme strojnega učenja grafov in analizo blockchain, da bi identificirali napadalce izsiljevalne programske opreme s »85-odstotno natančnostjo napovedi na testnem nizu podatkov«.
Čeprav so bili njihovi rezultati spodbudni, so avtorji izjavili, da bi lahko dosegli še večjo natančnost z nadaljnjim izboljšanjem svojih algoritmov in, kritično, "pridobili več podatkov, ki so bolj zanesljivi."
Izziv za forenzične modelarje je, da delajo z zelo neuravnoteženimi ali izkrivljenimi podatki. Raziskovalci univerze Columbia so lahko črpali iz 400 milijonov Bitcoin transakcij in skoraj 40 milijonov Bitcoin naslovov, vendar je bilo le 143 od teh potrjenih naslovov izsiljevalske programske opreme. Z drugimi besedami, transakcije brez goljufij so precej odtehtale goljufive transakcije. Pri tako izkrivljenih podatkih bo model označil veliko lažnih pozitivnih rezultatov ali pa bo goljufive podatke izpustil kot manjši odstotek.
Coinfirmova Bieda je zagotovila primer tega problema v lanskem intervjuju:
»Recimo, da želite zgraditi model, ki bo iz zbirke mačjih fotografij izvlekel fotografije psov, vendar imate nabor podatkov za usposabljanje s 1,000 fotografijami mačk in samo eno fotografijo psa. Model strojnega učenja "bi se naučil, da je v redu, da vse fotografije obravnavamo kot mačje fotografije, saj je meja napake [samo] 0.001."
Povedano drugače, bi algoritem "ves čas samo ugibal 'mačka', zaradi česar bi bil model seveda neuporaben, čeprav je dosegel visoke rezultate pri splošni natančnosti."
Dalala so vprašali, ali bi ta nova ameriška zakonodaja pomagala razširiti javni nabor podatkov o "goljufivih" naslovih Bitcoin in kripto naslovov, potrebnih za učinkovitejšo analizo blockchain omrežij izsiljevalske programske opreme.
"O tem ni dvoma," je Dalal povedal za Cointelegraph. "Seveda je več podatkov vedno dobro za vsako analizo." Še pomembneje pa je, da bodo po zakonu plačila odkupovalne programske opreme zdaj razkrita v 24-urnem obdobju, kar omogoča "večje možnosti za okrevanje in tudi možnosti za identifikacijo strežnikov in metod napada, tako da lahko druge potencialne žrtve sprejmejo obrambne ukrepe za zaščititi jih," je dodal. To je zato, ker večina storilcev uporablja isto zlonamerno programsko opremo za napad na druge žrtve.
Premalo uporabljeno forenzično orodje
Na splošno ni znano, da imajo organi pregona koristi, ko kriminalci uporabljajo kriptovalute za financiranje svojih dejavnosti. "Z analizo blockchain lahko odkrijete celotno dobavno verigo delovanja," je povedala Kimberly Grauer, direktorica raziskav pri Chainalysis. »Vidite lahko, kje kupujejo neprebojno gostovanje, kje kupujejo zlonamerno programsko opremo, svojo podružnico s sedežem v Kanadi« itd. "V te skupine lahko dobite veliko vpogledov" z analizo blockchaina, je dodala na nedavni okrogli mizi Chainalysis Media v New Yorku.
Toda, ali bo ta zakon, katerega izvajanje bo še trajalo mesece, res pomagal? "To je pozitivno, pomagalo bi," je na istem dogodku odgovoril Salman Banaei, sovodja javne politike pri Chainalysis. "Zavzemali smo se za to, vendar ni bilo tako, da bi prej leteli na slepo." Ali bi bila njihova forenzična prizadevanja bistveno učinkovitejša? "Ne vem, ali bi nas to naredilo veliko bolj učinkovite, vendar bi pričakovali nekaj izboljšanja v smislu pokritosti podatkov."
Pred uveljavitvijo zakona je treba v postopku oblikovanja predpisov še izdelati podrobnosti, vendar se je že postavilo eno očitno vprašanje: katera podjetja bodo morala spoštovati? "Pomembno je, da se spomnimo, da se zakon nanaša samo na" subjekte, ki imajo v lasti ali upravljajo kritično infrastrukturo, " je Liska povedala za Cointelegraph. Čeprav bi to lahko vključevalo več deset tisoč organizacij v 16 sektorjih, "ta zahteva še vedno velja le za majhen del organizacij v Združenih državah."
Ampak, morda ne. Po Bipulu Sinhi, izvršnemu direktorju in soustanovitelju podjetja Rubrik, podjetja za varnost podatkov, tistih infrastrukturnih sektorjev, navedenih v zakonu vključujejo finančne storitve, IT, energetika, zdravstveno varstvo, promet, proizvodni in komercialni objekti. "Z drugimi besedami, skoraj vsi," je zapisal v Fortune članek pred kratkim.
Drugo vprašanje: ali je treba prijaviti vsak napad, tudi tiste, ki se štejejo za relativno trivialne? Agencija za kibernetsko in infrastrukturno varnost, kjer bodo podjetja poročala, je pred kratkim komentirala, da se lahko prijavijo tudi majhna dejanja. "Zaradi grozeče nevarnosti ruskih kibernetskih napadov […] bi vsak incident lahko prinesel pomembne drobtine, ki bi vodile do prefinjenega napadalca," New York Times poročali.
Ali je prav domnevati, da zaradi vojne postaja potreba po preventivnih ukrepih bolj nujna? Predsednik Joe Biden je med drugim opozoril na verjetnost povračilnih kibernetskih napadov ruske vlade. Toda Liska meni, da se ta skrb ni izkazala - vsaj ne še:
»Zdi se, da se povračilni napadi odkupne programske opreme po ruski invaziji na Ukrajino niso uresničili. Tako kot večji del vojne je bila tudi Rusija slaba koordinacija, zato nobene skupine izsiljevalske programske opreme, ki bi bile morda mobilizirane, niso bile."
Kljub temu je skoraj tri četrtine vsega denarja, ustvarjenega z napadi ransomware, leta 2021 šlo hekerjem, povezanim z Rusijo, po na Chainalysis, zato ni mogoče izključiti napredka v dejavnosti od tam.
Ni samostojna rešitev
Algoritmi strojnega učenja, ki identificirajo in sledijo akterjem izsiljevalne programske opreme, ki iščejo plačilo z verigo blokov – in skoraj vsa izsiljevalska programska oprema je omogočena z verigo blokov – se bodo zdaj nedvomno izboljšali, je dejal Bieda. Toda rešitve za strojno učenje so le »eden od dejavnikov, ki podpirajo analizo blockchain in ne samostojna rešitev«. Še vedno obstaja kritična potreba po "širšem sodelovanju v panogi med organi pregona, podjetji za preiskovanje blockchain, ponudniki storitev virtualnih sredstev in seveda žrtvami goljufij v blockchainu."
Dalal je dodal, da ostaja veliko tehničnih izzivov, večinoma posledica edinstvene narave psevdoanonimnosti, in za Cointelegraph pojasnil:
»Večina javnih blokovnih verig je brez dovoljenja in uporabniki lahko ustvarijo toliko naslovov, kot želijo. Transakcije postanejo še bolj zapletene, saj obstajajo kozarci in druge storitve mešanja, ki lahko mešajo umazan denar z mnogimi drugimi. To povečuje kombinatorno zapletenost identifikacije storilcev, ki se skrivajo za več naslovi.
Več napredka?
Kljub temu se zdi, da se stvari premikajo v pravo smer. "Mislim, da kot industrija močno napredujemo," je dodala Liska, "in to smo naredili relativno hitro." Številna podjetja na tem področju opravljajo zelo inovativno delo, "in Ministrstvo za finance in druge vladne agencije prav tako začenjajo videti vrednost v analizi blockchain."
Po drugi strani, medtem ko analiza veriženja blokov očitno napreduje, "je zdaj toliko denarja, ki se zasluži z odkupovalno programsko opremo in krajo kriptovalut, da celo učinek tega dela bledi v primerjavi s celotno težavo," je dodala Liska.
Čeprav Bieda vidi napredek, bo še vedno izziv pridobiti podjetja, da prijavijo goljufije v verigi blokov, zlasti zunaj Združenih držav. "V zadnjih dveh letih je več kot 11,000 žrtev goljufij v blockchainu doseglo Coinfirm prek našega spletnega mesta Reclaim Crypto," je dejal. "Eno od vprašanj, ki jih zastavljamo, je: 'Ali ste tatvino prijavili organom pregona?' — in številne žrtve niso.
Dalal je dejal, da je vladni mandat pomemben korak v pravo smer. "To bo zagotovo spremenilo igro," je povedal Cointelegraphu, saj napadalci ne bodo mogli ponoviti uporabe svojih priljubljenih tehnik, "in se bodo morali premikati veliko hitreje, da bi napadli več tarč. Prav tako bo zmanjšalo stigmo, povezano z napadi, in potencialne žrtve se bodo lahko bolje zaščitile.
Vir: https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analysis