2020 год был рекордным по платежам программ-вымогателей (692 миллиона долларов), а 2021 год, вероятно, будет выше, когда будут собраны все данные, недавно Chainalysis переправу. Более того, с началом украинско-российской войны ожидается рост использования программ-вымогателей в качестве геополитического инструмента, а не только для сбора денег.
Но новый закон США может остановить эту растущую волну вымогательства. Недавно президент США Джо Байден подписанный Закон об усилении американской кибербезопасности или законопроект Питерса, требующий от инфраструктурных компаний сообщать правительству о крупных кибератаках в течение 72 часов и в течение 24 часов, если они совершают платеж с использованием программы-вымогателя.
Почему это важно? Анализ блокчейна доказал свою эффективность в разрушении сетей программ-вымогателей, как это видно из дела Colonial Pipeline в прошлом году, когда министерство юстиции смогло оправляться 2.3 миллиона долларов из общей суммы, которую трубопроводная компания заплатила группе программ-вымогателей.
Но для поддержания этой положительной тенденции необходимо больше данных, и они должны предоставляться более своевременно, особенно крипто-адреса злоумышленников, поскольку почти все атаки программ-вымогателей включать в себя криптовалюты на основе блокчейна, обычно Биткойн (BTC).
Именно здесь должен помочь новый закон, потому что до сих пор жертвы программ-вымогателей редко сообщали о вымогательстве государственным органам или другим лицам.
«Это будет очень полезно», — сказал Cointelegraph Роман Биеда, глава отдела расследований мошенничества в Coinfirm. «Возможность немедленно «отмечать» определенные монеты, адреса или транзакции как «рискованные» […] позволяет всем пользователям обнаруживать риск еще до попытки отмывания».
«Это абсолютно точно поможет в анализе судебным исследователям блокчейна», — сказал Cointelegraph Аллан Лиска, старший аналитик разведки в Recorded Future. «Хотя группы вымогателей часто меняют кошельки для каждой атаки вымогателей, эти деньги в конечном итоге возвращаются в один кошелек. Исследователи блокчейна очень хорошо соединили эти точки». Он добавил, что они смогли сделать это, несмотря на смешение и другие тактики, используемые бандами вымогателей и их союзниками по отмыванию денег.
Сиддхартха Далал, профессор профессиональной практики Колумбийского университета, согласился. В прошлом году Далал выступил соавтором статьи титулованный «Идентификация действующих лиц программ-вымогателей в сети Биткойн», в которой описывается, как он и его коллеги-исследователи смогли использовать алгоритмы графического машинного обучения и анализ блокчейна для выявления злоумышленников программ-вымогателей с «точностью прогнозирования 85% в наборе тестовых данных».
Хотя их результаты были обнадеживающими, авторы заявили, что они могут добиться еще большей точности за счет дальнейшего улучшения своих алгоритмов и, что особенно важно, «получения большего количества данных, которые являются более надежными».
Проблема для специалистов по моделированию здесь заключается в том, что они работают с сильно несбалансированными или искаженными данными. Исследователи Колумбийского университета смогли использовать 400 миллионов биткойн-транзакций и около 40 миллионов биткойн-адресов, но только 143 из них были подтвержденными адресами программ-вымогателей. Другими словами, немошеннические транзакции намного преобладают над мошенническими транзакциями. С такими искаженными данными модель либо отметит много ложных срабатываний, либо пропустит мошеннические данные как небольшой процент.
Биеда из Coinfirm предоставил пример этой проблемы в прошлогоднем интервью:
«Скажем, вы хотите построить модель, которая будет извлекать фотографии собак из множества фотографий кошек, но у вас есть обучающий набор данных с 1,000 фотографиями кошек и только одной фотографией собаки. Модель машинного обучения «узнает, что все фотографии можно рассматривать как фотографии кошек, поскольку погрешность составляет [всего] 0.001».
Другими словами, алгоритм «все время просто угадывал бы «кошку», что, конечно, делало бы модель бесполезной, даже несмотря на то, что ее общая точность была высокой».
Далала спросили, поможет ли это новое законодательство США расширить общедоступный набор данных о «мошеннических» биткойнах и крипто-адресах, необходимых для более эффективного анализа блокчейна сетей вымогателей.
«В этом нет никаких сомнений», — сказал Далал Cointelegraph. «Конечно, больше данных всегда полезно для любого анализа». Но что еще более важно, по закону платежи программ-вымогателей теперь будут раскрываться в течение 24 часов, что дает «лучшие шансы на восстановление, а также возможности идентификации серверов и методов атаки, чтобы другие потенциальные жертвы могли предпринять защитные меры для защиты». защитить их», — добавил он. Это связано с тем, что большинство преступников используют одно и то же вредоносное ПО для атаки на других жертв.
Малоиспользуемый криминалистический инструмент
Как правило, неизвестно, получают ли правоохранительные органы выгоду, когда преступники используют криптовалюты для финансирования своей деятельности. «Вы можете использовать анализ блокчейна, чтобы раскрыть всю их цепочку поставок», — сказала Кимберли Грауэр, директор по исследованиям в Chainalysis. «Вы можете увидеть, где они покупают свой пуленепробиваемый хостинг, где они покупают свое вредоносное ПО, их филиал в Канаде» и так далее. «Вы можете получить много информации об этих группах» через анализ блокчейна, — добавила она на недавнем круглом столе Chainalysis Media в Нью-Йорке.
Но действительно ли поможет этот закон, на реализацию которого уйдут месяцы? «Это положительно, это помогло бы», — ответил на том же мероприятии Салман Банаи, соруководитель отдела общественной политики в Chainalysis. «Мы выступали за это, но раньше мы не летали вслепую». Сделает ли это их судебно-медицинскую экспертизу значительно более эффективной? «Я не знаю, сделает ли это нас намного более эффективными, но мы ожидаем некоторого улучшения с точки зрения охвата данных».
В процессе нормотворчества еще предстоит проработать детали, прежде чем закон вступит в силу, но один очевидный вопрос уже возник: какие компании должны будут его соблюдать? «Важно помнить, что законопроект распространяется только на «организации, которые владеют критической инфраструктурой или управляют ею», — сказала Лиска Cointelegraph. Хотя это может включать десятки тысяч организаций в 16 секторах, «это требование по-прежнему применяется только к небольшой части организаций в Соединенных Штатах».
Но, возможно, нет. По Бипулу Синха, генеральному директору и соучредителю Rubrik, компании по обеспечению безопасности данных, те сектора инфраструктуры, которые указаны в законе включают финансовые услуги, информационные технологии, энергетика, здравоохранение, транспорт, производственные и коммерческие объекты. «Другими словами, почти все, — писал он в журнале Fortune. статья недавно.
Другой вопрос: нужно ли сообщать о каждой атаке, даже о тех, которые считаются относительно тривиальными? Агентство кибербезопасности и безопасности инфраструктуры, куда компании будут отчитываться, недавно прокомментировало, что даже небольшие действия могут считаться подлежащими регистрации. «Из-за надвигающегося риска российских кибератак [...] любой инцидент может дать важные хлебные крошки, ведущие к изощренному злоумышленнику», — New York Times. переправу.
Правильно ли считать, что война делает необходимость принятия превентивных мер более настоятельной? В конце концов, президент Джо Байден, среди прочих, повысил вероятность ответных кибератак со стороны российского правительства. Но Лиска не думает, что это беспокойство оправдалось — по крайней мере, пока:
«Похоже, что ответные атаки программ-вымогателей после российского вторжения в Украину не осуществились. Как и во время большей части войны, со стороны России была плохая координация, поэтому никаких групп вымогателей, которые могли бы быть мобилизованы, не было».
Тем не менее, в 2021 году почти три четверти всех денег, полученных от атак программ-вымогателей, достались хакерам, связанным с Россией. согласно в Chainalysis, поэтому нельзя исключать повышения активности оттуда.
Не автономное решение
По словам Биеды, алгоритмы машинного обучения, которые выявляют и отслеживают участников программ-вымогателей, пытающихся получить платеж через блокчейн, — а почти все программы-вымогатели поддерживают блокчейн — теперь, несомненно, улучшатся. Но решения для машинного обучения являются лишь «одним из факторов, поддерживающих анализ блокчейна, а не отдельным решением». По-прежнему существует острая необходимость «широкого сотрудничества в отрасли между правоохранительными органами, компаниями, занимающимися расследованием блокчейна, поставщиками услуг виртуальных активов и, конечно же, жертвами мошенничества в блокчейне».
Далал добавил, что остается много технических проблем, в основном из-за уникальной природы псевдоанонимности, объясняя Cointelegraph:
«Большинство общедоступных блокчейнов не имеют разрешений, и пользователи могут создавать столько адресов, сколько захотят. Транзакции становятся еще более сложными, поскольку существуют тумблеры и другие службы смешивания, которые могут смешивать испорченные деньги со многими другими. Это увеличивает комбинаторную сложность выявления преступников, скрывающихся за несколькими адресами».
Больше прогресса?
Тем не менее, похоже, дело движется в правильном направлении. «Я думаю, что мы добились значительного прогресса как отрасль, — добавила Лиска, — и мы сделали это относительно быстро». Ряд компаний проводят очень новаторскую работу в этой области, «и Министерство финансов и другие правительственные учреждения также начинают видеть ценность анализа блокчейна».
С другой стороны, хотя анализ блокчейна явно продвигается вперед, «сейчас так много денег зарабатывается на программах-вымогателях и краже криптовалюты, что даже влияние этой работы меркнет по сравнению с общей проблемой», — добавила Лиска.
Хотя Биеда видит прогресс, заставить фирмы сообщать о мошенничестве с блокчейном по-прежнему будет непросто, особенно за пределами США. «За последние два года более 11,000 XNUMX жертв мошенничества с блокчейном достигли Coinfirm через наш веб-сайт Reclaim Crypto», — сказал он. «Один из вопросов, которые мы задаем, звучит так: «Вы сообщили о краже в правоохранительные органы?» — а многие жертвы этого не сделали».
Далал сказал, что правительственный мандат является важным шагом в правильном направлении. «Это, безусловно, изменит правила игры», — сказал он Cointelegraph, поскольку злоумышленники не смогут повторить использование своих любимых методов, «и им придется двигаться намного быстрее, чтобы атаковать несколько целей. Это также уменьшит клеймо, связанное с нападениями, и потенциальные жертвы смогут лучше защитить себя».
Источник: https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analysis.