2020. je bila rekordna godina za isplate ransomwarea (692 milijuna dolara), a 2021. će vjerojatno biti veća kada budu svi podaci, nedavno je Chainalysis izvijestio. Štoviše, s izbijanjem ukrajinsko-ruskog rata, očekuje se i porast upotrebe ransomwarea kao geopolitičkog alata – a ne samo hvatanja novca.
No, novi američki zakon mogao bi zaustaviti ovu rastuću plimu iznuđivanja. Nedavno je predsjednik Sjedinjenih Država Joe Biden potpisan Zakon o jačanju američke kibernetičke sigurnosti ili Petersov zakon, koji zahtijeva od infrastrukturnih tvrtki da prijave vladi značajne cyber-napade u roku od 72 sata i unutar 24 sata ako izvrše plaćanje ransomware-a.
Zašto je ovo važno? Blockchain analiza se pokazala sve učinkovitijom u ometanju mreža ransomwarea, kao što se vidi u prošlogodišnjem slučaju Colonial Pipeline, gdje je Ministarstvo pravosuđa uspjelo oporaviti se 2.3 milijuna dolara od ukupnog iznosa koji je tvrtka za plinovod platila lancu ransomwarea.
No, da bi se održao ovaj pozitivan trend, potrebno je više podataka i moraju se dostavljati na pravodobniji način, posebno kripto adrese zlonamjernika, jer gotovo svi napadi ransomware-a obuhvatiti kriptovalute temeljene na blockchainu, obično Bitcoin (BTC).
Tu bi novi zakon trebao pomoći jer do sada žrtve ransomwarea rijetko prijavljuju iznudu državnim tijelima ili drugima.
"Bit će od velike pomoći", rekao je za Cointelegraph Roman Bieda, voditelj istraga prijevara u Coinfirmu. „Mogućnost trenutnog 'označavanja' određenih kovanica, adresa ili transakcija kao 'rizičnih' […] omogućuje svim korisnicima da uoče rizik čak i prije bilo kakvog pokušaja pranja.
"Apsolutno će pomoći u analizi forenzičkih istraživača blockchaina", rekao je za Cointelegraph Allan Liska, viši obavještajni analitičar u Recorded Futureu. “Dok grupe ransomwarea često mijenjaju novčanike za svaki napad ransomwarea, taj se novac na kraju vraća u jedan novčanik. Istraživači Blockchaina postali su vrlo dobri u povezivanju tih točaka.” Uspjeli su to učiniti unatoč miješanju i drugim taktikama koje koriste lanci ransomwarea i njihovi saveznički perači novca, dodao je.
Siddhartha Dalal, profesor profesionalne prakse na Sveučilištu Columbia, složio se s tim. Prošle godine Dalal je bio koautor rada pod nazivom "Identificiranje aktera ransomwarea u Bitcoin mreži" koji opisuje kako su on i njegovi kolege istraživači mogli koristiti algoritme strojnog učenja grafikona i analizu blockchaina kako bi identificirali napadače ransomwarea s "85% točnosti predviđanja na skupu podataka testa".
Iako su njihovi rezultati bili ohrabrujući, autori su izjavili da bi mogli postići još bolju točnost daljnjim poboljšanjem svojih algoritama i, što je kritički, "dobijanjem više podataka koji su pouzdaniji".
Izazov za forenzičke modele je to što rade s izrazito neuravnoteženim ili iskrivljenim podacima. Istraživači sa Sveučilišta Columbia uspjeli su izvući 400 milijuna Bitcoin transakcija i blizu 40 milijuna Bitcoin adresa, ali samo 143 od njih su bile potvrđene adrese ransomwarea. Drugim riječima, transakcije bez prijevare daleko su nadmašile lažne transakcije. S ovako iskrivljenim podacima, model će ili označiti puno lažnih pozitivnih rezultata ili će izostaviti lažne podatke kao manji postotak.
Coinfirmova Bieda pružila je primjer ovog problema u prošlogodišnjem intervjuu:
“Recimo da želite izraditi model koji će izvući fotografije pasa iz gomile fotografija mačaka, ali imate skup podataka za obuku s 1,000 fotografija mačaka i samo jednom fotografijom psa. Model strojnog učenja 'naučio bi da je u redu sve fotografije tretirati kao fotografije mačaka jer je margina pogreške [samo] 0.001.'”
Drugačije rečeno, algoritam bi "samo nagađao 'mačku' cijelo vrijeme, što bi model učinilo beskorisnim, naravno, čak i kad je postigao visoku ukupnu točnost."
Dalal je upitan hoće li ovo novo američko zakonodavstvo pomoći u proširenju javnog skupa podataka o "lažnim" Bitcoin i kripto adresama potrebnim za učinkovitiju analizu blockchaina mreža ransomwarea.
"O tome nema sumnje", rekao je Dalal za Cointelegraph. "Naravno, više podataka je uvijek dobro za svaku analizu." No, što je još važnije, prema zakonu, isplate ransomwarea sada će biti otkrivene u roku od 24 sata, što omogućuje “veću šansu za oporavak, a također i mogućnosti identificiranja poslužitelja i metoda napada kako bi druge potencijalne žrtve mogle poduzeti obrambene korake kako bi zaštitite ih”, dodao je. To je zato što većina počinitelja koristi isti zlonamjerni softver za napad na druge žrtve.
Nedovoljno iskorišten forenzički alat
Općenito nije poznato da provođenje zakona ima koristi kada kriminalci koriste kriptovalute za financiranje svojih aktivnosti. "Možete koristiti blockchain analizu kako biste otkrili cijeli njihov opskrbni lanac rada", rekla je Kimberly Grauer, direktorica istraživanja u Chainalysisu. “Možete vidjeti gdje kupuju svoj neprobojni hosting, gdje kupuju svoj zlonamjerni softver, svoju podružnicu sa sjedištem u Kanadi” i tako dalje. "Možete dobiti puno uvida u ove grupe" kroz blockchain analizu, dodala je na nedavno održanom Okruglom stolu Chainalysis Media u New Yorku.
No, hoće li ovaj zakon, čija će provedba još proći mjesecima, doista pomoći? "To je pozitivno, pomoglo bi", odgovorio je Salman Banaei, suvoditelj javne politike u Chainalysisu, na istom događaju. “Mi smo se zalagali za to, ali nije da smo prije bili slijepi.” Bi li to njihove forenzičke napore učinilo znatno učinkovitijim? "Ne znam bi li nas to učinilo puno učinkovitijim, ali bismo očekivali određeno poboljšanje u pogledu pokrivenosti podataka."
Još je potrebno razraditi pojedinosti u procesu donošenja propisa prije provedbe zakona, ali jedno očito pitanje već je postavljeno: koje će tvrtke morati poštivati pravila? “Važno je zapamtiti da se zakon odnosi samo na 'subjekata koji posjeduju ili upravljaju kritičnom infrastrukturom'”, rekao je Liska za Cointelegraph. Iako bi to moglo uključivati desetke tisuća organizacija u 16 sektora, “ovaj se zahtjev još uvijek primjenjuje samo na mali dio organizacija u Sjedinjenim Državama”.
Ali, možda i nije. Prema Bipulu Sinhi, izvršnom direktoru i suosnivaču Rubrika, tvrtke za sigurnost podataka, onim infrastrukturnim sektorima koji se navode u zakonu uključiti financijske usluge, IT, energetika, zdravstvo, transport, proizvodni i komercijalni objekti. "Drugim riječima, gotovo svi", napisao je u časopisu Fortune članak nedavno.
Još jedno pitanje: Mora li se prijaviti svaki napad, čak i onaj koji se smatra relativno trivijalnim? Agencija za kibernetičku i infrastrukturnu sigurnost, gdje će tvrtke izvještavati, nedavno je komentirala da se čak i mala djela mogu smatrati podložnim prijavi. “Zbog prijetećeg rizika od ruskih kibernetičkih napada […] svaki bi incident mogao pružiti važne mrvice kruha koji vode do sofisticiranog napadača”, New York Times izvijestio.
Je li ispravno pretpostaviti da rat čini potrebu za preventivnim djelovanjem hitnijom? Predsjednik Joe Biden, između ostalih, ipak je podigao vjerojatnost osvetničkih cyber-napada ruske vlade. Ali, Liska ne misli da je ova zabrinutost uspjela – barem ne još:
“Čini se da se ransomware napadi nakon ruske invazije na Ukrajinu nisu materijalizirali. Kao i veći dio rata, bila je loša koordinacija od strane Rusije, tako da bilo koje grupe ransomwarea koje bi mogle biti mobilizirane nisu bile.”
Ipak, gotovo tri četvrtine svega novca zarađenog putem ransomware napada otišlo je hakerima povezanim s Rusijom 2021. prema na Chainalysis, tako da se ne može isključiti napredak u aktivnostima od tamo.
Nije samostalno rješenje
Algoritmi strojnog učenja koji identificiraju i prate aktere ransomwarea koji traže plaćanje blockchainom – a gotovo sav ransomware je omogućen blockchain – nesumnjivo će se sada poboljšati, rekao je Bieda. No, rješenja za strojno učenje samo su “jedan od čimbenika koji podržavaju blockchain analizu, a ne samostalno rješenje”. Još uvijek postoji kritična potreba "za širokom suradnjom u industriji između organa za provođenje zakona, tvrtki za istraživanje blockchaina, pružatelja usluga virtualne imovine i, naravno, žrtava prijevare u blockchainu."
Dalal je dodao da ostaju mnogi tehnički izazovi, uglavnom rezultat jedinstvene prirode pseudoanonimnosti, objašnjavajući za Cointelegraph:
“Većina javnih blockchaina je bez dopuštenja i korisnici mogu stvoriti onoliko adresa koliko žele. Transakcije postaju još složenije budući da postoje mješalice i druge usluge miješanja koje mogu miješati zaraženi novac s mnogim drugim. To povećava kombinatornu složenost identificiranja počinitelja koji se skrivaju iza više adresa.”
Više napretka?
Ipak, čini se da se stvari kreću u pravom smjeru. "Mislim da ostvarujemo značajan napredak kao industrija", dodala je Liska, "i to smo učinili relativno brzo." Niz tvrtki radilo je vrlo inovativan posao u ovom području, "a Ministarstvo financija i druge vladine agencije također počinju uviđati vrijednost u analizi blockchaina."
S druge strane, dok analiza blockchaina očito napreduje, "trenutačno se zarađuje toliko novca od ransomwarea i krađe kriptovaluta da čak i učinak koji ovaj rad ima blijed u usporedbi s cjelokupnim problemom", dodala je Liska.
Iako Bieda vidi napredak, i dalje će biti izazov navesti tvrtke da prijave blockchain prijevare, osobito izvan Sjedinjenih Država. “U posljednje dvije godine, više od 11,000 žrtava prijevare u blockchainu došlo je do Coinfirma putem naše web stranice Reclaim Crypto”, rekao je. “Jedno od pitanja koje postavljamo je: 'Jeste li prijavili krađu policiji?' — a mnoge žrtve nisu.”
Dalal je rekao da je vladin mandat važan korak u pravom smjeru. “Ovo će sigurno promijeniti igru”, rekao je za Cointelegraph, budući da napadači neće moći ponoviti korištenje svojih omiljenih tehnika, “i morat će se kretati mnogo brže kako bi napali više meta. To će također smanjiti stigmu vezanu uz napade i potencijalne žrtve moći će se bolje zaštititi.”
Izvor: https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analysis