2020 год был рекордным по платежам программ-вымогателей (692 миллиона долларов), а 2021 год, вероятно, будет выше, когда будут собраны все данные, как недавно сообщила Chainalysis. Более того, с началом украинско-российской войны ожидается рост использования программ-вымогателей в качестве геополитического инструмента, а не только для сбора денег.

Но новый закон США может остановить эту растущую волну вымогательства. Президент Соединенных Штатов Джо Байден недавно подписал закон об усилении американской кибербезопасности, или законопроект Питерса, обязывающий инфраструктурные компании сообщать правительству о крупных кибератаках в течение 72 часов и в течение 24 часов, если они совершают платеж с помощью программ-вымогателей.

Почему это важно? Анализ блокчейна оказывается все более эффективным в разрушении сетей программ-вымогателей, как это видно из дела Colonial Pipeline в прошлом году, когда министерство юстиции смогло вернуть 2,3 миллиона долларов из общей суммы, которую компания-каналопровод заплатила группе программ-вымогателей.

Но для поддержания этой положительной тенденции требуется больше данных, и они должны предоставляться более своевременно, особенно крипто-адреса злоумышленников, поскольку почти все атаки программ-вымогателей связаны с криптовалютами на основе блокчейна, обычно биткойнами (BTC).

Именно здесь должен помочь новый закон, потому что до сих пор жертвы программ-вымогателей редко сообщали о вымогательстве государственным органам или другим лицам.

Президент США Джо Байден и директор Управления управления и бюджета Шаланда Янг в Белом доме, 28 марта 2022 г. Источник: Reuters/Кевин Ламарк.
Президент США Джо Байден и директор Управления управления и бюджета Шаланда Янг в Белом доме, 28 марта 2022 г. Источник: Reuters/Кевин Ламарк.

«Это будет очень полезно», — сказал Cointelegraph Роман Биеда, глава отдела расследований мошенничества в Coinfirm. «Возможность немедленно «отмечать» определенные монеты, адреса или транзакции как «рискованные» [...] позволяет всем пользователям обнаруживать риск еще до любой попытки отмывания».

«Это абсолютно поможет в анализе криминалистам блокчейна», — сказал Cointelegraph Аллан Лиска, старший аналитик разведки Recorded Future. «Хотя группы вымогателей часто меняют кошельки для каждой атаки вымогателей, эти деньги в конечном итоге возвращаются в один кошелек. Исследователи блокчейна очень хорошо соединили эти точки». Он добавил, что им удалось это сделать, несмотря на смешивание и другие тактики, используемые группами вымогателей и их союзниками по отмыванию денег.

Сиддхартха Далал, профессор профессиональной практики Колумбийского университета, согласился. В прошлом году Далал стал соавтором статьи под названием «Идентификация субъектов программ-вымогателей в сети Биткойн», в которой описывалось, как он и его коллеги-исследователи смогли использовать алгоритмы графического машинного обучения и анализ блокчейна для выявления злоумышленников программ-вымогателей с «точностью прогнозирования 85% в сети Биткойн». набор тестовых данных».

Хотя их результаты были обнадеживающими, авторы заявили, что они могут добиться еще большей точности за счет дальнейшего улучшения своих алгоритмов и, что особенно важно, «получения большего количества данных, которые являются более надежными».

Проблема для специалистов по моделированию здесь заключается в том, что они работают с сильно несбалансированными или искаженными данными. Исследователи Колумбийского университета смогли использовать 400 миллионов биткойн-транзакций и около 40 миллионов биткойн-адресов, но только 143 из них были подтвержденными адресами программ-вымогателей. Другими словами, немошеннические транзакции намного преобладают над мошенническими транзакциями. С такими искаженными данными модель либо отметит много ложных срабатываний, либо пропустит мошеннические данные как небольшой процент.

Биеда из Coinfirm привел пример этой проблемы в прошлогоднем интервью:

«Скажем, вы хотите построить модель, которая будет извлекать фотографии собак из множества фотографий кошек, но у вас есть обучающий набор данных с 1000 фотографиями кошек и только одной фотографией собаки. относиться ко всем фотографиям как к фотографиям кошек, поскольку погрешность составляет [всего] 0,001».

Другими словами, алгоритм «все время просто угадывал бы `кошку`, что, конечно, сделало бы модель бесполезной, даже несмотря на то, что она показала высокую общую точность».

Далала спросили, поможет ли это новое законодательство США расширить общедоступный набор данных о «мошеннических» биткойнах и крипто-адресах, необходимых для более эффективного анализа блокчейна сетей вымогателей.

«В этом нет никаких сомнений», — сказал Далал Cointelegraph. «Конечно, больше данных всегда полезно для любого анализа». Но что еще более важно, по закону платежи программ-вымогателей теперь будут раскрываться в течение 24 часов, что дает «лучшие шансы на восстановление, а также возможности идентификации серверов и методов атаки, чтобы другие потенциальные жертвы могли предпринять защитные меры для защитить их», — добавил он. Это потому, что большинство злоумышленников используют одно и то же вредоносное ПО для атаки на других жертв.

Малоиспользуемый криминалистический инструмент

Как правило, неизвестно, получают ли правоохранительные органы выгоду, когда преступники используют криптовалюты для финансирования своей деятельности. «Вы можете использовать анализ блокчейна, чтобы раскрыть всю их цепочку поставок», — сказала Кимберли Грауэр, директор по исследованиям в Chainalysis. «Вы можете увидеть, где они покупают свой пуленепробиваемый хостинг, где они покупают свое вредоносное ПО, их филиал в Канаде» и так далее. «Вы можете получить много информации об этих группах» с помощью анализа блокчейна, добавила она на недавнем круглом столе Chainalysis Media в Нью-Йорке.

Но действительно ли поможет этот закон, на реализацию которого уйдут месяцы? «Это хорошо, это помогло бы», — ответил на том же мероприятии Салман Банаи, соруководитель отдела общественной политики в Chainalysis. «Мы выступали за это, но раньше мы не летали вслепую». Сделает ли это их судебно-медицинскую экспертизу значительно более эффективной? «Я не знаю, сделает ли это нас намного более эффективными, но мы ожидаем некоторого улучшения с точки зрения охвата данных».

В процессе нормотворчества еще предстоит проработать детали, прежде чем закон вступит в силу, но уже возник один очевидный вопрос: какие компании должны будут его соблюдать? «Важно помнить, что законопроект распространяется только на «организации, которые владеют критической инфраструктурой или управляют ею», — сказал Лиска Cointelegraph. Хотя это может включать десятки тысяч организаций в 16 секторах, «это требование по-прежнему применяется только к небольшой части организаций в Соединенных Штатах».

Но, возможно, нет. По словам Бипула Синха, генерального директора и соучредителя Rubrik, компании по обеспечению безопасности данных, в число секторов инфраструктуры, упомянутых в законе, входят финансовые услуги, ИТ, энергетика, здравоохранение, транспорт, производство и коммерческие объекты. «Другими словами, почти все», — написал он недавно в статье Fortune.

Другой вопрос: нужно ли сообщать о каждой атаке, даже о тех, которые считаются относительно тривиальными? Агентство кибербезопасности и безопасности инфраструктуры, куда компании будут отчитываться, недавно прокомментировало, что даже небольшие действия могут считаться подлежащими регистрации. «Из-за надвигающегося риска кибератак со стороны России [...] любой инцидент может дать важные хлебные крошки, ведущие к изощренному злоумышленнику», — сообщает New York Times.

Правильно ли считать, что война делает необходимость принятия превентивных мер более настоятельной? В конце концов, президент Джо Байден, среди прочих, повысил вероятность ответных кибератак со стороны российского правительства. Но Лиска не думает, что это беспокойство оправдалось — по крайней мере, пока:

«Похоже, что ответные атаки программ-вымогателей после российского вторжения в Украину не материализовались. Как и во время большей части войны, со стороны России была плохая координация, поэтому никаких групп программ-вымогателей, которые могли бы быть мобилизованы, не было».

Тем не менее, по данным Chainalysis, в 2021 году почти три четверти всех денег, полученных в результате атак программ-вымогателей, достались хакерам, связанным с Россией, поэтому нельзя исключать роста активности оттуда.

Не автономное решение

По словам Биеды, алгоритмы машинного обучения, которые выявляют и отслеживают участников программ-вымогателей, пытающихся получить платеж через блокчейн, — а почти все программы-вымогатели поддерживают блокчейн — теперь, несомненно, улучшатся. Но решения для машинного обучения — это лишь «один из факторов, поддерживающих анализ блокчейна, а не отдельное решение». По-прежнему существует острая необходимость «широкого сотрудничества в отрасли между правоохранительными органами, компаниями, занимающимися расследованием блокчейна, поставщиками услуг виртуальных активов и, конечно же, жертвами мошенничества в блокчейне».

Далал добавил, что остается много технических проблем, в основном из-за уникальной природы псевдоанонимности, объясняя Cointelegraph:

«Большинство общедоступных блокчейнов не имеют разрешений, и пользователи могут создавать столько адресов, сколько захотят. Транзакции становятся еще более сложными, поскольку существуют тумблеры и другие сервисы смешивания, которые могут смешивать испорченные деньги со многими другими. Это увеличивает комбинаторную сложность выявления преступников. прячась за несколькими адресами».

Больше прогресса?

Тем не менее, похоже, дело движется в правильном направлении. «Я думаю, что наша отрасль значительно продвинулась вперед, — добавила Лиска, — и мы сделали это относительно быстро». Ряд компаний проводят очень новаторскую работу в этой области, «и Министерство финансов и другие правительственные учреждения также начинают видеть ценность анализа блокчейна».

С другой стороны, хотя анализ блокчейна явно продвигается вперед, «сейчас так много денег зарабатывается на программах-вымогателях и краже криптовалюты, что даже влияние этой работы меркнет по сравнению с общей проблемой», — добавила Лиска.

Хотя Биеда видит прогресс, заставить фирмы сообщать о мошенничестве с блокчейном по-прежнему будет непросто, особенно за пределами США. «За последние два года более 11 000 жертв мошенничества с блокчейном достигли Coinfirm через наш веб-сайт Reclaim Crypto», — сказал он. «Один из вопросов, которые мы задаем, звучит так: «Сообщали ли вы о краже в правоохранительные органы?» — а многие жертвы этого не делали».

Далал сказал, что правительственный мандат является важным шагом в правильном направлении. «Это, безусловно, изменит правила игры», — сказал он Cointelegraph, поскольку злоумышленники не смогут повторить использование своих любимых техник, «и им придется двигаться намного быстрее, чтобы атаковать несколько целей. к нападениям, и потенциальные жертвы смогут лучше защитить себя».

Источник