2020 was een recordjaar voor ransomware-betalingen ($692 miljoen), en 2021 zal waarschijnlijk hoger zijn als alle gegevens binnen zijn, aldus Chainalysis onlangs gerapporteerd. Bovendien wordt verwacht dat met het uitbreken van de oorlog tussen Oekraïne en Rusland ook het gebruik van ransomware als geopolitiek instrument (niet alleen als geldgreep) zal toenemen.
Maar een nieuwe Amerikaanse wet zou dit opkomende afpersingstij kunnen keren. De Amerikaanse president Joe Biden onlangs Gesigneerd de Strengthening American Cybersecurity Act of het Peters-wetsvoorstel in wetgeving omgezet, waarbij infrastructuurbedrijven worden verplicht substantiële cyberaanvallen binnen 72 uur aan de overheid te melden, en binnen 24 uur als ze een ransomware-betaling doen.
Waarom is dit belangrijk? Blockchain-analyse is steeds effectiever gebleken bij het ontwrichten van ransomware-netwerken, zoals vorig jaar bleek uit de Colonial Pipeline-zaak, waarbij het ministerie van Justitie erin slaagde om herstellen 2.3 miljoen dollar van het totaal dat een pijpleidingbedrijf heeft betaald aan een ransomware-ring.
Maar om deze positieve trend vast te houden zijn meer gegevens nodig en moeten deze tijdiger worden verstrekt, met name de crypto-adressen van kwaadwillenden, aangezien bijna alle ransomware-aanvallen betrekken op blockchain gebaseerde cryptocurrencies, meestal Bitcoin (BTC).
Dit is waar de nieuwe wet zou moeten helpen, omdat slachtoffers van ransomware tot nu toe zelden de afpersing melden aan de overheid of anderen.
"Het zal zeer nuttig zijn", vertelde Roman Bieda, hoofd van fraudeonderzoeken bij Coinfirm, aan Cointelegraph. "De mogelijkheid om specifieke munten, adressen of transacties onmiddellijk als 'risicovol' te 'markeren' […] stelt alle gebruikers in staat om het risico te herkennen, zelfs voordat ze een poging doen om wit te wassen."
"Het zal absoluut helpen bij analyse door forensische onderzoekers van blockchain", vertelde Allan Liska, senior intelligence-analist bij Recorded Future, aan Cointelegraph. “Hoewel ransomware-groepen vaak van wallet wisselen voor elke ransomware-aanval, vloeit dat geld uiteindelijk terug naar één enkele wallet. Blockchain-onderzoekers zijn erg goed geworden in het verbinden van die punten.” Ze zijn erin geslaagd om dit te doen ondanks vermenging en andere tactieken die worden gebruikt door ransomware-ringen en hun geconfedereerde witwassers, voegde hij eraan toe.
Siddhartha Dalal, hoogleraar beroepspraktijk aan Columbia University, is het daarmee eens. Vorig jaar was Dalal co-auteur van een artikel getiteld “Identifying Ransomware Actors In The Bitcoin Network” waarin werd beschreven hoe hij en zijn collega-onderzoekers grafische machine learning-algoritmen en blockchain-analyse konden gebruiken om ransomware-aanvallers te identificeren met “85% voorspellingsnauwkeurigheid op de testdataset.”
Hoewel hun resultaten bemoedigend waren, verklaarden de auteurs dat ze een nog betere nauwkeurigheid konden bereiken door hun algoritmen verder te verbeteren en, kritisch, "meer gegevens te verkrijgen die betrouwbaarder zijn".
De uitdaging voor forensische modelbouwers hier is dat ze werken met zeer onevenwichtige of scheve gegevens. De onderzoekers van de Columbia University konden gebruikmaken van 400 miljoen Bitcoin-transacties en bijna 40 miljoen Bitcoin-adressen, maar slechts 143 hiervan waren bevestigde ransomware-adressen. Met andere woorden, de niet-fraudetransacties waren veel groter dan de frauduleuze transacties. Met gegevens die zo scheef zijn, zal het model ofwel veel valse positieven markeren of de frauduleuze gegevens weglaten als een klein percentage.
Bieda van Coinfirm verstrekte een voorbeeld van dit probleem in een interview vorig jaar:
"Stel dat je een model wilt bouwen dat foto's van honden uit een groot aantal kattenfoto's haalt, maar je hebt een trainingsdataset met 1,000 kattenfoto's en slechts één hondenfoto. Een machine learning-model 'zou leren dat het oké is om alle foto's als kattenfoto's te behandelen, aangezien de foutmarge [slechts] 0.001 is.'”
Anders gezegd, het algoritme zou "de hele tijd 'kat' raden, wat het model natuurlijk onbruikbaar zou maken, ook al scoorde het hoog in algemene nauwkeurigheid."
Dalal werd gevraagd of deze nieuwe Amerikaanse wetgeving zou helpen bij het uitbreiden van de openbare dataset van "frauduleuze" Bitcoin en crypto-adressen die nodig zijn voor een effectievere blockchain-analyse van ransomware-netwerken.
"Er bestaat geen twijfel over", vertelde Dalal aan Cointelegraph. “Natuurlijk is meer data altijd goed voor elke analyse.” Maar nog belangrijker, volgens de wet zullen ransomware-betalingen nu binnen een periode van 24 uur worden onthuld, wat zorgt voor "een betere kans op herstel en ook mogelijkheden om servers en aanvalsmethoden te identificeren, zodat andere potentiële slachtoffers defensieve stappen kunnen nemen om bescherm ze,” voegde hij eraan toe. Dat komt omdat de meeste daders dezelfde malware gebruiken om andere slachtoffers aan te vallen.
Een onderbenut forensisch hulpmiddel
Het is over het algemeen niet bekend dat wetshandhavers er baat bij hebben als criminelen cryptocurrencies gebruiken om hun activiteiten te financieren. “Je kunt blockchain-analyse gebruiken om de volledige supply chain van hun activiteiten bloot te leggen”, zegt Kimberly Grauer, onderzoeksdirecteur bij Chainalysis. "Je kunt zien waar ze hun kogelvrije hosting kopen, waar ze hun malware kopen, hun in Canada gevestigde partner", enzovoort. “Je kunt veel inzichten krijgen in deze groepen” via blockchain-analyse, voegde ze eraan toe tijdens een recente Chainalysis Media Roundtable in New York City.
Maar zal deze wet, die nog maanden in beslag zal nemen, echt helpen? "Het is positief, het zou helpen", antwoordde Salman Banaei, co-head of public policy bij Chainalysis, tijdens hetzelfde evenement. "We hebben ervoor gepleit, maar het is niet alsof we eerder blind vlogen." Zou het hun forensische inspanningen aanzienlijk effectiever maken? "Ik weet niet of het ons veel effectiever zou maken, maar we zouden enige verbetering verwachten in termen van gegevensdekking."
Er moeten nog details worden uitgewerkt in het regelgevingsproces voordat de wet wordt geïmplementeerd, maar een voor de hand liggende vraag is al gesteld: welke bedrijven moeten hieraan voldoen? "Het is belangrijk om te onthouden dat het wetsvoorstel alleen van toepassing is op 'entiteiten die kritieke infrastructuur bezitten of exploiteren'", vertelde Liska aan Cointelegraph. Hoewel dat tienduizenden organisaties in 16 sectoren kan omvatten, "is deze vereiste nog steeds slechts van toepassing op een klein deel van de organisaties in de Verenigde Staten."
Maar misschien ook niet. Volgens aan Bipul Sinha, CEO en mede-oprichter van Rubrik, een gegevensbeveiligingsbedrijf, de infrastructuursectoren die in de wet worden genoemd omvatten financiële diensten, IT, energie, gezondheidszorg, transport, productie en commerciële faciliteiten. “Met andere woorden, zo ongeveer iedereen”, schreef hij in een Fortune artikel onlangs.
Nog een vraag: moet elke aanval worden gerapporteerd, zelfs de aanvallen die als relatief triviaal worden beschouwd? De Cybersecurity and Infrastructure Security Agency, waar de bedrijven zullen rapporteren, merkte onlangs op dat zelfs kleine handelingen als rapporteerbaar kunnen worden beschouwd. “Vanwege het dreigende risico van Russische cyberaanvallen [...] kan elk incident belangrijke broodkruimels opleveren die kunnen leiden tot een geavanceerde aanvaller”, aldus de New York Times gerapporteerd.
Is het juist om aan te nemen dat de oorlog de noodzaak om preventieve maatregelen te nemen urgenter maakt? Onder meer president Joe Biden heeft de kans op vergeldingscyberaanvallen van de Russische regering immers verhoogd. Maar Liska denkt niet dat deze zorg is uitgedoofd - nog niet, tenminste:
“De vergeldingsransomware-aanvallen na de Russische inval in Oekraïne lijken niet te zijn uitgekomen. Zoals veel van de oorlog was er een slechte coördinatie aan de kant van Rusland, dus eventuele ransomware-groepen die mogelijk waren gemobiliseerd, waren dat niet.”
Toch ging in 2021 bijna driekwart van al het geld dat via ransomware-aanvallen werd verdiend naar hackers die banden hadden met Rusland. volgens naar Chainalysis, dus een stap omhoog in de activiteit van daaruit kan niet worden uitgesloten.
Geen op zichzelf staande oplossing
Algoritmen voor machinaal leren die ransomware-actoren identificeren en volgen die op zoek zijn naar blockchain-betalingen - en bijna alle ransomware is blockchain-enabled - zullen nu ongetwijfeld verbeteren, zei Bieda. Maar oplossingen voor machine learning zijn slechts "een van de factoren die blockchain-analyse ondersteunen en geen op zichzelf staande oplossing." Er is nog steeds een cruciale behoefte "aan brede samenwerking in de industrie tussen wetshandhavingsinstanties, blockchain-onderzoeksbedrijven, aanbieders van virtuele activadiensten en, natuurlijk, slachtoffers van fraude in de blockchain."
Dalal voegde eraan toe dat er nog veel technische uitdagingen zijn, voornamelijk het resultaat van de unieke aard van pseudo-anonimiteit, en legt uit aan Cointelegraph:
“De meeste openbare blockchains hebben geen toestemming en gebruikers kunnen zoveel adressen aanmaken als ze willen. De transacties worden nog ingewikkelder omdat er tuimelaars en andere mengdiensten zijn die bedorven geld met vele andere kunnen vermengen. Dit vergroot de combinatorische complexiteit van het identificeren van daders die zich achter meerdere adressen verbergen.”
Meer vooruitgang?
Toch lijkt het de goede kant op te gaan. "Ik denk dat we als industrie aanzienlijke vooruitgang boeken," voegde Liska eraan toe, "en we hebben dat relatief snel gedaan." Een aantal bedrijven heeft zeer innovatief werk op dit gebied gedaan, "en het ministerie van Financiën en andere overheidsinstanties beginnen ook de waarde in blockchain-analyse te zien."
Aan de andere kant, terwijl blockchain-analyse duidelijk vooruitgang boekt, "wordt er op dit moment zoveel geld verdiend aan ransomware en diefstal van cryptocurrency dat zelfs de impact die dit werk heeft verbleekt in vergelijking met het algemene probleem", voegde Liska eraan toe.
Hoewel Bieda vooruitgang ziet, zal het nog steeds een uitdaging zijn om bedrijven ertoe te brengen blockchain-fraude te melden, vooral buiten de Verenigde Staten. "De afgelopen twee jaar hebben meer dan 11,000 slachtoffers van fraude in blockchain Coinfirm bereikt via onze Reclaim Crypto-website", zei hij. “Een van de vragen die we stellen is: 'Heeft u aangifte gedaan van de diefstal bij de politie?' – en veel slachtoffers niet.”
Dalal zei dat het mandaat van de regering een belangrijke stap in de goede richting is. "Dit zal zeker een game changer zijn," vertelde hij Cointelegraph, aangezien aanvallers het gebruik van hun favoriete technieken niet zullen kunnen herhalen, "en ze zullen veel sneller moeten bewegen om meerdere doelen aan te vallen. Het vermindert ook het stigma dat aan de aanslagen kleeft en potentiële slachtoffers zullen zichzelf beter kunnen beschermen.”
Bron: https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analysis