2020 var et rekordår for ransomware-betalinger ($692 millioner), og 2021 vil trolig være høyere når alle dataene er inne, Chainalysis nylig rapportert. Med utbruddet av Ukraina-Russland-krigen forventes det dessuten å øke bruken av løsepengevare som et geopolitisk verktøy – ikke bare et pengegrep.
Men en ny amerikansk lov kan stoppe denne økende utpressingstidevannet. USAs president Joe Biden nylig signert til lov, Strengthening American Cybersecurity Act, eller Peters-lovforslaget, som krever at infrastrukturfirmaer rapporterer til myndighetene betydelige cyberangrep innen 72 timer og innen 24 timer hvis de foretar en løsepengevarebetaling.
Hvorfor er dette viktig? Blokkjedeanalyse har vist seg stadig mer effektiv for å forstyrre løsepengevarenettverk, som det ble sett i Colonial Pipeline-saken i fjor, hvor justisdepartementet var i stand til å gjenopprette 2.3 millioner dollar av totalen som et rørledningsselskap betalte til en løsepengevare-ring.
Men for å opprettholde denne positive trenden, er det nødvendig med mer data, og de må leveres på en mer tidsriktig måte, spesielt ondsinnedes kryptoadresser, ettersom nesten alle løsepengevareangrep involvere blokkjedebaserte kryptovalutaer, vanligvis Bitcoin (BTC).
Det er her den nye loven bør hjelpe fordi, til nå, rapporterer løsepengevareofre sjelden utpressingen til offentlige myndigheter eller andre.
"Det vil være veldig nyttig," sa Roman Bieda, leder for svindelundersøkelser hos Coinfirm, til Cointelegraph. «Muligheten til å umiddelbart «flagge» spesifikke mynter, adresser eller transaksjoner som «risikofylte» […] gjør det mulig for alle brukere å oppdage risikoen selv før ethvert forsøk på hvitvasking.»
"Det vil absolutt hjelpe til med analyse av rettsmedisinske forskere på blockchain," sa Allan Liska, en senior etterretningsanalytiker ved Recorded Future, til Cointelegraph. «Selv om løsepengevaregrupper ofte bytter ut lommebøker for hvert løsepengeprogram, flyter pengene til slutt tilbake til én enkelt lommebok. Blockchain-forskere har blitt veldig flinke til å koble sammen disse punktene.» De har vært i stand til å gjøre dette til tross for blanding og andre taktikker brukt av løsepengevareringer og deres konfødererte pengehvitvaskere, la han til.
Siddhartha Dalal, professor i profesjonell praksis ved Columbia University, var enig. I fjor var Dalal medforfatter av en artikkel tittelen "Identifisering av ransomware-aktører i Bitcoin-nettverket" som beskrev hvordan han og hans medforskere var i stand til å bruke grafiske maskinlæringsalgoritmer og blokkjedeanalyse for å identifisere løsepenge-angripere med "85 % prediksjonsnøyaktighet på testdatasettet."
Mens resultatene deres var oppmuntrende, uttalte forfatterne at de kunne oppnå enda bedre nøyaktighet ved å forbedre algoritmene ytterligere og, kritisk, "få mer data som er mer pålitelig."
Utfordringen for rettsmedisinske modeller her er at de jobber med svært ubalanserte eller skjeve data. Columbia University-forskerne var i stand til å trekke på 400 millioner Bitcoin-transaksjoner og nærmere 40 millioner Bitcoin-adresser, men bare 143 av disse var bekreftede løsepengevareadresser. Med andre ord oppveide ikke-svindeltransaksjonene langt de uredelige transaksjonene. Med data så skjevt som dette, vil modellen enten markere mange falske positiver eller vil utelate svindeldata som en mindre prosentandel.
Coinfirm's Bieda ga en eksempel på dette problemet i et intervju i fjor:
«Si at du vil bygge en modell som vil trekke ut bilder av hunder fra en haug med kattebilder, men du har et treningsdatasett med 1,000 kattebilder og bare ett hundebilde. En maskinlæringsmodell 'ville lære at det er greit å behandle alle bilder som kattebilder siden feilmarginen er [bare] 0.001.'
Sagt på en annen måte, ville algoritmen "bare gjette 'katt' hele tiden, noe som ville gjøre modellen ubrukelig, selvfølgelig, selv om den scoret høyt i total nøyaktighet."
Dalal ble spurt om denne nye amerikanske lovgivningen ville bidra til å utvide det offentlige datasettet med "svindel" Bitcoin- og kryptoadresser som trengs for en mer effektiv blokkjedeanalyse av løsepengevarenettverk.
"Det er ingen tvil om det," sa Dalal til Cointelegraph. "Selvfølgelig er mer data alltid bra for enhver analyse." Men enda viktigere, ved lov vil løsepengevarebetalinger nå bli avslørt innen en 24-timers periode, noe som gir "en bedre sjanse for gjenoppretting og også muligheter for å identifisere servere og angrepsmetoder slik at andre potensielle ofre kan ta defensive skritt for å beskytte dem," la han til. Det er fordi de fleste gjerningsmenn bruker den samme skadevare for å angripe andre ofre.
Et underutnyttet rettsmedisinsk verktøy
Det er generelt ikke kjent at rettshåndhevelse har fordeler når kriminelle bruker kryptovalutaer for å finansiere sine aktiviteter. "Du kan bruke blokkjedeanalyse for å avdekke hele forsyningskjeden deres," sa Kimberly Grauer, forskningsdirektør ved Chainalysis. "Du kan se hvor de kjøper deres skuddsikre hosting, hvor de kjøper malware, deres tilknyttede selskaper basert i Canada" og så videre. "Du kan få mye innsikt til disse gruppene" gjennom blokkjedeanalyse, la hun til på en nylig Chainalysis Media Roundtable i New York City.
Men vil denne loven, som fortsatt vil ta måneder å implementere, virkelig hjelpe? "Det er positivt, det ville hjelpe," svarte Salman Banaei, medleder for offentlig politikk ved Chainalysis, på samme arrangement. "Vi tok til orde for det, men det er ikke slik at vi fløy blind før." Ville det gjøre deres rettsmedisinske innsats betydelig mer effektiv? "Jeg vet ikke om det vil gjøre oss mye mer effektive, men vi forventer en viss forbedring når det gjelder datadekning."
Det er fortsatt detaljer som skal utarbeides i regelutformingen før loven implementeres, men ett åpenbart spørsmål har allerede blitt reist: Hvilke selskaper må overholde? "Det er viktig å huske at lovforslaget kun gjelder "enheter som eier eller driver kritisk infrastruktur," sa Liska til Cointelegraph. Selv om det kan omfatte titusenvis av organisasjoner på tvers av 16 sektorer, "gjelder dette kravet fortsatt bare en liten brøkdel av organisasjoner i USA."
Men, kanskje ikke. Ifølge til Bipul Sinha, administrerende direktør og medgründer av Rubrik, et datasikkerhetsselskap, de infrastruktursektorene som er sitert i loven inkludere finansielle tjenester, IT, energi, helsetjenester, transport, produksjon og kommersielle fasiliteter. "Med andre ord, omtrent alle," skrev han i en Fortune artikkel nylig.
Et annet spørsmål: Må hvert angrep rapporteres, også de som anses som relativt trivielle? Cybersecurity and Infrastructure Security Agency, hvor selskapene vil rapportere, kommenterte nylig at selv små handlinger kan anses som rapporterbare. «På grunn av den truende risikoen for russiske nettangrep […] kan enhver hendelse gi viktige brødsmuler som fører til en sofistikert angriper», New York Times rapportert.
Er det riktig å anta at krigen gjør behovet for å iverksette forebyggende tiltak mer presserende? President Joe Biden, blant andre, har tross alt hevet sannsynligheten for gjengjeldende cyberangrep fra den russiske regjeringen. Men Liska tror ikke denne bekymringen har slått ut - ikke ennå, i det minste:
"De gjengjeldende løsepenge-angrepene etter den russiske invasjonen av Ukraina ser ikke ut til å ha blitt realisert. Som mye av krigen var det dårlig koordinering fra Russlands side, så eventuelle løsepengevaregrupper som kunne ha blitt mobilisert var det ikke.»
Likevel gikk nesten tre fjerdedeler av alle pengene som ble tjent gjennom løsepengevareangrep til hackere knyttet til Russland i 2021, ifølge til Chainalysis, så et steg opp i aktiviteten derfra kan ikke utelukkes.
Ikke en frittstående løsning
Maskinlæringsalgoritmer som identifiserer og sporer løsepengevareaktører som søker blokkjedebetaling – og nesten all løsepengevare er blokkjedeaktivert – vil uten tvil forbedres nå, sa Bieda. Men maskinlæringsløsninger er bare "en av faktorene som støtter blokkjedeanalyse og ikke en frittstående løsning." Det er fortsatt et kritisk behov "for bredt samarbeid i bransjen mellom rettshåndhevelse, blokkjedeetterforskningsselskaper, leverandører av virtuelle aktivatjenester og selvfølgelig ofre for svindel i blokkjeden."
Dalal la til at mange tekniske utfordringer gjenstår, hovedsakelig et resultat av den unike naturen til pseudo-anonymitet, og forklarte til Cointelegraph:
"De fleste offentlige blokkjeder er tillatelsesløse og brukere kan opprette så mange adresser de vil. Transaksjonene blir enda mer komplekse siden det er tumblere og andre miksetjenester som er i stand til å blande skjenkede penger med mange andre. Dette øker den kombinatoriske kompleksiteten ved å identifisere gjerningsmenn som gjemmer seg bak flere adresser.»
Mer fremgang?
Likevel ser det ut til at ting går i riktig retning. "Jeg tror vi gjør betydelig fremgang som industri," la Liska til, "og vi har gjort det relativt raskt." En rekke selskaper har gjort svært innovativt arbeid på dette området, "og finansdepartementet og andre offentlige etater begynner også å se verdien av blokkjedeanalyse."
På den annen side, mens blokkjedeanalyse tydeligvis gjør fremskritt, "tjenes det så mye penger på løsepengevare og kryptovalutatyveri akkurat nå at selv virkningen dette arbeidet har blekner sammenlignet med det generelle problemet," la Liska til.
Mens Bieda ser fremgang, vil det fortsatt være en utfordring å få firmaer til å rapportere blokkjedesvindel, spesielt utenfor USA. "I de siste to årene har mer enn 11,000 XNUMX ofre for svindel i blokkjede nådd Coinfirm gjennom vår Reclaim Crypto-nettside," sa han. «Et av spørsmålene vi stiller er: 'Har du rapportert tyveriet til politiet?' – og mange ofre hadde ikke det.»
Dalal sa regjeringsmandatet er et viktig skritt i riktig retning. "Dette vil helt sikkert være en game changer," sa han til Cointelegraph, ettersom angripere ikke vil være i stand til å gjenta bruken av sine foretrukne teknikker, "og de vil måtte bevege seg mye raskere for å angripe flere mål. Det vil også redusere stigmaet knyttet til angrepene og potensielle ofre vil kunne beskytte seg selv bedre.»
Kilde: https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analysis