2020 г. беше рекордна година за плащания на ransomware (692 милиона долара), а 2021 г. вероятно ще бъде по-висока, когато всички данни са включени, наскоро Chainalysis съобщи. Нещо повече, с избухването на войната между Украйна и Русия, използването на ransomware като геополитически инструмент – а не просто за грабване на пари – се очаква също да нарасне.
Но нов закон на САЩ може да спре тази нарастваща вълна от изнудване. Президентът на САЩ Джо Байдън наскоро подписан в закон Законът за укрепване на американската киберсигурност или законопроектът на Питърс, който изисква инфраструктурните фирми да докладват на правителството за значителни кибератаки в рамките на 72 часа и в рамките на 24 часа, ако извършат плащане на софтуер за откуп.
Защо това е важно? Анализът на блокчейн се оказва все по-ефективен при нарушаване на мрежите за откуп, както се вижда в случая Colonial Pipeline миналата година, където Министерството на правосъдието успя да възвръщам 2.3 милиона долара от общата сума, която тръбопроводна компания е платила на ransomware пръстен.
Но за да се поддържа тази положителна тенденция, са необходими повече данни и те трябва да се предоставят по по-навременен начин, особено крипто адресите на злонамерените, тъй като почти всички атаки на ransomware включва криптовалути, базирани на блокчейн, обикновено биткойн (BTC).
Това е мястото, където новият закон трябва да помогне, защото досега жертвите на ransomware рядко съобщават за изнудването на държавни органи или други.
„Ще бъде много полезно“, каза пред Cointelegraph Роман Биеда, ръководител на разследванията на измами в Coinfirm. „Възможността незабавно да „маркирате“ конкретни монети, адреси или транзакции като „рискови“ […] позволява на всички потребители да забележат риска дори преди всеки опит за изпиране.“
„Това абсолютно ще помогне при анализа от криминалистите на блокчейн“, каза Алън Лиска, старши анализатор на разузнаването в Recorded Future, пред Cointelegraph. „Докато групите за ransomware често сменят портфейли за всяка атака на ransomware, тези пари в крайна сметка се връщат обратно към един портфейл. Изследователите на блокчейн са станали много добри в свързването на тези точки." Те са успели да направят това въпреки смесването и други тактики, използвани от кръговете за откуп и техните конфедеративни перачки на пари, добави той.
Сидхарта Далал, професор по професионална практика в Колумбийския университет, се съгласи. Миналата година Далал е съавтор на статия озаглавена „Идентифициране на участниците в Ransomware в мрежата на биткойн“, който описва как той и неговите колеги изследователи са успели да използват алгоритми за машинно обучение с графики и анализ на блокчейн, за да идентифицират нападателите на ransomware с „85% точност на прогнозиране в набора от тестови данни“.
Въпреки че резултатите им бяха обнадеждаващи, авторите заявиха, че биха могли да постигнат още по-добра точност, като подобрят допълнително своите алгоритми и, критично, „получавайки повече данни, които са по-надеждни“.
Предизвикателството за съдебните моделисти тук е, че те работят със силно небалансирани или изкривени данни. Изследователите от Колумбийския университет успяха да извлекат 400 милиона биткойн транзакции и близо 40 милиона биткойн адреса, но само 143 от тях бяха потвърдени адреси на софтуер за откуп. С други думи, транзакциите без измама са много повече от измамните транзакции. При толкова изкривени данни моделът или ще маркира много фалшиви положителни резултати, или ще пропусне измамните данни като малък процент.
Bieda на Coinfirm предостави пример за този проблем в интервю миналата година:
„Кажете, че искате да създадете модел, който ще извади снимки на кучета от множество снимки на котки, но имате набор от данни за обучение с 1,000 снимки на котки и само една снимка на кучета. Модел на машинно обучение „ще научи, че е добре да третираме всички снимки като котешки, тъй като границата на грешката е [само] 0.001.“
Казано по друг начин, алгоритъмът „просто ще отгатва „котка“ през цялото време, което би направило модела безполезен, разбира се, дори и да има висока оценка в общата точност“.
Далал беше попитан дали това ново американско законодателство ще помогне за разширяване на публичния набор от данни от „измамни“ биткойн и крипто адреси, необходими за по-ефективен блокчейн анализ на мрежите за откуп.
„Няма съмнение за това“, каза Далал пред Cointelegraph. „Разбира се, повече данни винаги са добри за всеки анализ.“ Но още по-важното е, че по закон плащанията на ransomware вече ще се разкриват в рамките на 24-часов период, което позволява „по-добър шанс за възстановяване, както и възможности за идентифициране на сървъри и методи за атака, така че други потенциални жертви да могат да предприемат защитни стъпки за защити ги“, добави той. Това е така, защото повечето извършители използват същия злонамерен софтуер, за да атакуват други жертви.
Неизползван криминалистичен инструмент
Като цяло не е известно, че правоприлагащите органи печелят, когато престъпниците използват криптовалути за финансиране на дейността си. „Можете да използвате анализ на блокчейн, за да разкриете цялата им верига на доставки“, каза Кимбърли Грауер, директор на изследванията в Chainalysis. „Можете да видите къде купуват своя бронеустойчив хостинг, къде купуват своя злонамерен софтуер, техен филиал, базиран в Канада“ и така нататък. „Можете да получите много прозрения за тези групи“ чрез блокчейн анализ, добави тя на неотдавнашна кръгла маса Chainalysis Media в Ню Йорк.
Но дали този закон, чието прилагане все още ще отнеме месеци, ще помогне ли наистина? „Това е положително, би помогнало“, отговори на същото събитие Салман Банаи, съръководител на публичната политика в Chainalysis. "Ние се застъпвахме за това, но не е като да летим на сляпо преди." Ще направи ли съдебните им усилия значително по-ефективни? „Не знам дали това би ни направило много по-ефективни, но бихме очаквали известно подобрение по отношение на покритието на данните.“
Все още има детайли, които трябва да бъдат уточнени в процеса на изработване на правила, преди законът да бъде приложен, но вече беше повдигнат един очевиден въпрос: Кои компании ще трябва да се съобразят? „Важно е да запомните, че законопроектът се отнася само за „субекти, които притежават или управляват критична инфраструктура“,“ каза Лиска пред Cointelegraph. Въпреки че това може да включва десетки хиляди организации в 16 сектора, „това изискване все още се прилага само за малка част от организациите в Съединените щати“.
Но може би не. Според на Бипул Синха, главен изпълнителен директор и съосновател на Rubrik, компания за сигурност на данните, тези инфраструктурни сектори, цитирани в закона include финансови услуги, информационни технологии, енергетика, здравеопазване, транспорт, производствени и търговски съоръжения. „С други думи, почти всички“, пише той в Fortune статия наскоро.
Друг въпрос: Трябва ли да се докладва всяка атака, дори и тези, които се считат за относително тривиални? Агенцията за киберсигурност и сигурност на инфраструктурата, където компаниите ще докладват, наскоро коментира, че дори малки действия може да се считат за докладвани. „Поради нарастващия риск от руски кибератаки […] всеки инцидент може да осигури важни хлебни трохи, водещи до усъвършенстван нападател“, „Ню Йорк Таймс“ съобщи.
Правилно ли е да се приеме, че войната прави необходимостта от предприемане на превантивни действия по-спешна? В крайна сметка президентът Джо Байдън, наред с други, повиши вероятността от ответни кибератаки от руското правителство. Но Лиска не смята, че тази загриженост се е развила - поне още не:
„Атаките на отмъстителния софтуер след руската инвазия в Украйна изглежда не са се реализирали. Както по-голямата част от войната, имаше лоша координация от страна на Русия, така че всички групи за откуп, които може да са били мобилизирани, не са били.
И все пак почти три четвърти от всички пари, направени чрез атаки на ransomware, отидоха за хакери, свързани с Русия през 2021 г. според до Chainalysis, така че не може да се изключи стъпка напред в дейността от там.
Не е самостоятелно решение
Алгоритмите за машинно обучение, които идентифицират и проследяват участниците в ransomware, търсещи плащане с блокчейн – и почти всички ransomware е активиран blockchain – несъмнено ще се подобрят сега, каза Биеда. Но решенията за машинно обучение са само „един от факторите, поддържащи блокчейн анализа, а не самостоятелно решение“. Все още има критична нужда от „широко сътрудничество в индустрията между правоприлагащите органи, компании за разследване на блокчейн, доставчици на услуги за виртуални активи и, разбира се, жертви на измами в блокчейн“.
Далал добави, че остават много технически предизвикателства, най-вече резултат от уникалната природа на псевдо-анонимността, обяснявайки пред Cointelegraph:
„Повечето публични блокчейни са без разрешение и потребителите могат да създават толкова адреси, колкото искат. Транзакциите стават още по-сложни, тъй като има чаши и други миксиращи услуги, които могат да смесват опетнени пари с много други. Това увеличава комбинаторната сложност на идентифицирането на извършителите, криещи се зад множество адреси.
Повече напредък?
Въпреки това нещата изглежда се движат в правилната посока. „Мисля, че постигаме значителен напредък като индустрия“, добави Лиска, „и го направихме сравнително бързо“. Редица компании вършат много иновативна работа в тази област, „и Министерството на финансите и други правителствени агенции също започват да виждат стойността в анализа на блокчейн“.
От друга страна, докато анализът на блокчейн очевидно прави крачки, „в момента се правят толкова много пари от откупи и кражби на криптовалута, че дори въздействието на тази работа бледнее в сравнение с цялостния проблем“, добави Лиска.
Въпреки че Bieda вижда напредък, все още ще бъде предизвикателство да накарате фирмите да докладват за блокчейн измами, особено извън Съединените щати. „През последните две години повече от 11,000 XNUMX жертви на измами в блокчейн достигнаха до Coinfirm чрез нашия уебсайт Reclaim Crypto“, каза той. „Един от въпросите, които задаваме, е „Съобщели ли сте за кражбата на органите на реда?“ — и много жертви не са го направили.
Далал каза, че мандатът на правителството е важна стъпка в правилната посока. „Това със сигурност ще промени играта“, каза той пред Cointelegraph, тъй като нападателите няма да могат да повторят използването на предпочитаните от тях техники, „и ще трябва да се движат много по-бързо, за да атакуват множество цели. Това също така ще намали стигмата, свързана с атаките и потенциалните жертви ще могат да се защитят по-добре."
Източник: https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analysis