2020 var ett rekordår för betalningar av ransomware (692 miljoner USD), och 2021 kommer förmodligen att bli högre när all data finns inne, Chainalysis nyligen rapporterade. Dessutom, med utbrottet av kriget mellan Ukraina och Ryssland, förväntas också användningen av ransomware som ett geopolitiskt verktyg – inte bara ett grepp om pengar – växa.
Men en ny amerikansk lag kan hejda denna stigande utpressningsvåg. USA:s president Joe Biden nyligen signerad i lag, The Strengthening American Cybersecurity Act, eller Peters lagförslaget, som kräver att infrastrukturföretag rapporterar till regeringen betydande cyberattacker inom 72 timmar och inom 24 timmar om de gör en betalning med ransomware.
Varför är detta viktigt? Blockkedjeanalys har visat sig allt effektivare för att störa ransomware-nätverk, vilket sågs i fallet Colonial Pipeline förra året, där justitiedepartementet kunde återhämta 2.3 miljoner dollar av det totala som ett pipelineföretag betalade till en ransomware-ring.
Men för att bibehålla denna positiva trend behövs mer data och den måste tillhandahållas i rätt tid, särskilt förövares kryptoadresser, eftersom nästan alla ransomware-attacker engagera blockchain-baserade kryptovalutor, vanligtvis Bitcoin (BTC).
Det är här den nya lagen borde hjälpa eftersom offer för ransomware sällan rapporterar utpressningen till myndigheter eller andra.
"Det kommer att vara till stor hjälp," sa Roman Bieda, chef för bedrägeriutredningar på Coinfirm, till Cointelegraph. "Möjligheten att omedelbart "flagga" specifika mynt, adresser eller transaktioner som "riskiga" […] gör det möjligt för alla användare att upptäcka risken även innan ett försök till tvättning."
"Det kommer absolut att hjälpa till med analys av blockchain-kriminaltekniska forskare," sa Allan Liska, en senior underrättelseanalytiker på Recorded Future, till Cointelegraph. "Medan ransomware-grupper ofta byter ut plånböcker för varje ransomware-attack, flödar pengarna så småningom tillbaka till en enda plånbok. Blockchain-forskare har blivit väldigt bra på att koppla ihop dessa prickar." De har kunnat göra detta trots blandning och annan taktik som använts av ransomware-ringar och deras konfedererade penningtvättare, tillade han.
Siddhartha Dalal, professor i yrkesutövning vid Columbia University, höll med. Förra året var Dalal medförfattare till en tidning betitlad "Identifiera ransomware-aktörer i Bitcoin-nätverket" som beskrev hur han och hans forskarkollegor kunde använda grafiska maskininlärningsalgoritmer och blockkedjeanalys för att identifiera ransomware-angripare med "85 % förutsägningsnoggrannhet på testdatauppsättningen."
Medan deras resultat var uppmuntrande, sa författarna att de kunde uppnå ännu bättre noggrannhet genom att förbättra sina algoritmer ytterligare och, kritiskt, "få mer data som är mer tillförlitlig."
Utmaningen för forensiska modellerare här är att de arbetar med mycket obalanserad eller skev data. Columbia University-forskarna kunde dra nytta av 400 miljoner Bitcoin-transaktioner och nära 40 miljoner Bitcoin-adresser, men endast 143 av dessa var bekräftade ransomware-adresser. Med andra ord, de icke-bedrägeritransaktioner som vida uppvägde de bedrägliga transaktionerna. Med så sned data som denna kommer modellen antingen att markera många falska positiva resultat eller utelämna den bedrägliga informationen som en mindre procentandel.
Coinfirm's Bieda gav en exempel på detta problem i en intervju förra året:
"Säg att du vill bygga en modell som tar ut foton av hundar från en mängd kattfoton, men du har en träningsdatauppsättning med 1,000 0.001 kattfoton och bara ett hundfoto. En maskininlärningsmodell "skulle lära sig att det är okej att behandla alla foton som kattfoton eftersom felmarginalen är [bara] XNUMX."
Med andra ord skulle algoritmen "bara gissa 'katt' hela tiden, vilket skulle göra modellen värdelös, naturligtvis, även om den fick höga poäng i övergripande noggrannhet."
Dalal tillfrågades om denna nya amerikanska lagstiftning skulle hjälpa till att utöka den offentliga datauppsättningen av "bedrägliga" Bitcoin- och kryptoadresser som behövs för en mer effektiv blockkedjeanalys av ransomware-nätverk.
"Det är ingen tvekan om det," sa Dalal till Cointelegraph. "Självklart är mer data alltid bra för alla analyser." Men ännu viktigare, enligt lag kommer betalningar av ransomware nu att avslöjas inom en 24-timmarsperiod, vilket ger "en bättre chans till återhämtning och även möjligheter att identifiera servrar och attackmetoder så att andra potentiella offer kan vidta defensiva åtgärder för att skydda dem”, tillade han. Det beror på att de flesta förövare använder samma skadliga program för att attackera andra offer.
Ett underutnyttjat rättsmedicinskt verktyg
Det är i allmänhet inte känt att brottsbekämpning gynnas när kriminella använder kryptovalutor för att finansiera sin verksamhet. "Du kan använda blockkedjeanalys för att avslöja hela deras leveranskedja", säger Kimberly Grauer, forskningschef på Chainalysis. "Du kan se var de köper sin skottsäkra värd, var de köper sin skadliga programvara, deras affiliate baserat i Kanada" och så vidare. "Du kan få många insikter om dessa grupper" genom blockkedjeanalys, tillade hon vid en nyligen genomförd Chainalysis Media Roundtable i New York City.
Men kommer denna lag, som fortfarande kommer att ta månader att genomföra, verkligen hjälpa? "Det är positivt, det skulle hjälpa," svarade Salman Banaei, medchef för offentlig politik på Chainalysis, vid samma evenemang. "Vi förespråkade det, men det är inte som att vi flög blinda tidigare." Skulle det göra deras kriminaltekniska insatser betydligt effektivare? "Jag vet inte om det skulle göra oss mycket mer effektiva, men vi förväntar oss en viss förbättring när det gäller datatäckning."
Det återstår fortfarande detaljer att utarbeta i regelprocessen innan lagen implementeras, men en uppenbar fråga har redan ställts: Vilka företag kommer att behöva följa? "Det är viktigt att komma ihåg att lagförslaget endast gäller "enheter som äger eller driver kritisk infrastruktur", säger Liska till Cointelegraph. Även om det kan omfatta tiotusentals organisationer inom 16 sektorer, "det här kravet gäller fortfarande bara en liten del av organisationerna i USA."
Men, kanske inte. Enligt till Bipul Sinha, VD och medgrundare av Rubrik, ett datasäkerhetsföretag, de infrastruktursektorer som nämns i lagen innefattar finansiella tjänster, IT, energi, sjukvård, transport, tillverkning och kommersiella anläggningar. "Med andra ord, nästan alla," skrev han i en Fortune artikel nyligen.
En annan fråga: Måste varje attack rapporteras, även de som anses vara relativt triviala? Cybersecurity and Infrastructure Security Agency, där företagen kommer att rapportera, kommenterade nyligen att även små handlingar kan anses rapporterbara. "På grund av den överhängande risken för ryska cyberattacker […] kan varje incident ge viktiga brödsmulor som leder till en sofistikerad angripare", New York Times rapporterade.
Är det rätt att anta att kriget gör behovet av att vidta förebyggande åtgärder mer akut? President Joe Biden, bland andra, har trots allt höjt sannolikheten för repressalier cyberattacker från den ryska regeringen. Men Liska tror inte att denna oro har slagit ut - inte ännu, åtminstone:
"De vedergällande ransomware-attackerna efter den ryska invasionen av Ukraina verkar inte ha förverkligats. Liksom stora delar av kriget var det dålig samordning från Rysslands sida, så alla ransomware-grupper som kan ha mobiliserats var det inte.”
Ändå gick nästan tre fjärdedelar av alla pengar som gjordes genom ransomware-attacker till hackare kopplade till Ryssland 2021, enligt till Chainalysis, så ett steg upp i aktivitet därifrån kan inte uteslutas.
Inte en fristående lösning
Maskinlärande algoritmer som identifierar och spårar ransomware-aktörer som söker blockchain-betalning – och nästan all ransomware är blockchain-aktiverad – kommer utan tvekan att förbättras nu, sa Bieda. Men maskininlärningslösningar är bara "en av faktorerna som stödjer blockkedjeanalys och inte en fristående lösning." Det finns fortfarande ett kritiskt behov "av brett samarbete i branschen mellan brottsbekämpande myndigheter, blockchain-utredningsföretag, tjänsteleverantörer av virtuella tillgångar och, naturligtvis, offer för bedrägerier i blockkedjan."
Dalal tillade att många tekniska utmaningar kvarstår, mestadels resultatet av pseudo-anonymitetens unika natur, och förklarade för Cointelegraph:
"De flesta offentliga blockkedjor är tillståndslösa och användare kan skapa så många adresser de vill. Transaktionerna blir ännu mer komplexa eftersom det finns tumblers och andra blandningstjänster som kan blanda smutsiga pengar med många andra. Detta ökar den kombinatoriska komplexiteten i att identifiera förövare som gömmer sig bakom flera adresser.”
Fler framsteg?
Ändå verkar det gå åt rätt håll. "Jag tror att vi gör betydande framsteg som bransch," tillade Liska, "och vi har gjort det relativt snabbt." Ett antal företag har gjort mycket innovativt arbete inom detta område, "och finansdepartementet och andra statliga myndigheter börjar också se värdet i blockkedjeanalys."
Å andra sidan, medan blockkedjeanalys tydligt gör framsteg, "det tjänas så mycket pengar på ransomware och stöld av kryptovaluta just nu att även effekten av detta arbete bleknar jämfört med det övergripande problemet", tillade Liska.
Även om Bieda ser framsteg kommer det fortfarande att vara en utmaning att få företag att rapportera blockchain-bedrägerier, särskilt utanför USA. "Under de senaste två åren har mer än 11,000 XNUMX offer för bedrägerier i blockchain nått Coinfirm via vår Reclaim Crypto-webbplats," sa han. "En av frågorna vi ställer är "Har du anmält stölden till polisen?" – och många offer hade inte det.”
Dalal sa att regeringsmandatet är ett viktigt steg i rätt riktning. "Det här kommer säkerligen att förändra spelet," sa han till Cointelegraph, eftersom angripare inte kommer att kunna upprepa användningen av sina favorittekniker, "och de kommer att behöva röra sig mycket snabbare för att attackera flera mål. Det kommer också att minska stigmat som är kopplat till attackerna och potentiella offer kommer att kunna skydda sig själva bättre.”
Källa: https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analysis