Il 2020 è stato un anno record per i pagamenti di ransomware ($ 692 milioni) e il 2021 sarà probabilmente più alto quando tutti i dati saranno disponibili, Chainalysis di recente segnalati. Inoltre, con lo scoppio della guerra Ucraina-Russia, si prevede che crescerà anche l'uso del ransomware come strumento geopolitico, non solo per accaparrarsi denaro.
Ma una nuova legge statunitense potrebbe arginare questa crescente marea di estorsioni. Il presidente degli Stati Uniti Joe Biden di recente firmato in legge il rafforzamento della legge americana sulla sicurezza informatica, o il disegno di legge Peters, che richiede alle società di infrastrutture di segnalare al governo attacchi informatici sostanziali entro 72 ore ed entro 24 ore se effettuano un pagamento ransomware.
Perché questo è importante? L'analisi blockchain si è dimostrata sempre più efficace nell'interrompere le reti di ransomware, come si è visto nel caso Colonial Pipeline lo scorso anno, dove il Dipartimento di Giustizia è stato in grado di recuperare $ 2.3 milioni del totale che una società di gasdotti ha pagato a un anello di ransomware.
Ma, per mantenere questa tendenza positiva, sono necessari più dati e devono essere forniti in modo più tempestivo, in particolare gli indirizzi crittografici dei malfattori, poiché quasi tutti gli attacchi ransomware coinvolgere criptovalute basate su blockchain, solitamente Bitcoin (BTC).
È qui che la nuova legge dovrebbe aiutare perché, fino ad ora, le vittime di ransomware raramente denunciano l'estorsione alle autorità governative o ad altri.
"Sarà molto utile", ha detto a Cointelegraph Roman Bieda, capo delle indagini sulle frodi di Coinfirm. "La possibilità di "contrassegnare" immediatamente monete, indirizzi o transazioni specifici come "rischiosi" […] consente a tutti gli utenti di individuare il rischio anche prima di qualsiasi tentativo di riciclaggio."
"Assolutamente aiuterà nell'analisi dei ricercatori forensi blockchain", ha detto a Cointelegraph Allan Liska, analista di intelligence senior di Recorded Future. “Mentre i gruppi di ransomware spesso cambiano i portafogli per ogni attacco ransomware, quel denaro alla fine torna a un singolo portafoglio. I ricercatori Blockchain sono diventati molto bravi a collegare quei punti". Sono stati in grado di farlo nonostante la miscelazione e altre tattiche utilizzate dai gruppi di ransomware e dai loro riciclatori di denaro confederati, ha aggiunto.
Siddhartha Dalal, professore di pratica professionale alla Columbia University, è d'accordo. L'anno scorso, Dalal è stato coautore di un articolo titolato "Identifying Ransomware Actors In The Bitcoin Network" che descriveva come lui e i suoi colleghi ricercatori sono stati in grado di utilizzare algoritmi di apprendimento automatico grafico e analisi blockchain per identificare gli aggressori ransomware con "precisione dell'85% sul set di dati di test".
Sebbene i loro risultati fossero incoraggianti, gli autori hanno affermato che avrebbero potuto ottenere una precisione ancora migliore migliorando ulteriormente i loro algoritmi e, in modo critico, "ottenendo più dati che sono più affidabili".
La sfida per i modellisti forensi qui è che stanno lavorando con dati altamente sbilanciati o distorti. I ricercatori della Columbia University sono stati in grado di attingere a 400 milioni di transazioni Bitcoin e quasi 40 milioni di indirizzi Bitcoin, ma solo 143 di questi erano indirizzi ransomware confermati. In altre parole, le transazioni non fraudolente hanno superato di gran lunga le transazioni fraudolente. Con dati così distorti, il modello segnerà molti falsi positivi o ometterà i dati fraudolenti come una percentuale minore.
Bieda di Coinfirm ha fornito un esempio di questo problema in un'intervista dell'anno scorso:
Supponiamo di voler costruire un modello che estragga foto di cani da un tesoro di foto di gatti, ma disponi di un set di dati di addestramento con 1,000 foto di gatti e una sola foto di cani. Un modello di machine learning 'imparerebbe che va bene trattare tutte le foto come foto di gatti poiché il margine di errore è [solo] 0.001'”.
In altre parole, l'algoritmo "indovina sempre 'gatto', il che renderebbe il modello inutile, ovviamente, anche se ha ottenuto un punteggio elevato in termini di precisione complessiva".
A Dalal è stato chiesto se questa nuova legislazione statunitense avrebbe aiutato ad espandere il set di dati pubblici di Bitcoin "fraudolenti" e indirizzi crittografici necessari per un'analisi blockchain più efficace delle reti di ransomware.
"Non ci sono dubbi", ha detto Dalal a Cointelegraph. "Naturalmente, più dati sono sempre utili per qualsiasi analisi." Ma ancora più importante, per legge, i pagamenti del ransomware verranno ora rivelati entro un periodo di 24 ore, il che consente "una migliore possibilità di recupero e anche possibilità di identificare server e metodi di attacco in modo che altre potenziali vittime possano adottare misure difensive per proteggili", ha aggiunto. Questo perché la maggior parte degli autori usa lo stesso malware per attaccare altre vittime.
Uno strumento forense sottoutilizzato
In genere non è noto che le forze dell'ordine beneficino quando i criminali utilizzano le criptovalute per finanziare le loro attività. "Puoi utilizzare l'analisi blockchain per scoprire l'intera catena di approvvigionamento operativa", ha affermato Kimberly Grauer, direttore della ricerca presso Chainalysis. "Puoi vedere dove stanno acquistando il loro hosting a prova di proiettile, dove acquistano il loro malware, la loro affiliata con sede in Canada" e così via. "Puoi ottenere molte informazioni su questi gruppi" attraverso l'analisi blockchain, ha aggiunto a una recente tavola rotonda di Chainalysis Media a New York City.
Ma questa legge, la cui attuazione richiederà ancora mesi, sarà davvero di aiuto? "È positivo, aiuterebbe", ha risposto allo stesso evento Salman Banaei, co-responsabile delle politiche pubbliche di Chainalysis. "Lo abbiamo sostenuto, ma non è che prima volavamo alla cieca". Renderebbe i loro sforzi forensi significativamente più efficaci? "Non so se ci renderebbe molto più efficaci, ma ci aspetteremmo qualche miglioramento in termini di copertura dei dati".
Ci sono ancora dettagli da elaborare nel processo normativo prima che la legge venga attuata, ma è già stata sollevata una domanda ovvia: quali aziende dovranno conformarsi? "È importante ricordare che il disegno di legge si applica solo alle 'entità che possiedono o gestiscono infrastrutture critiche'", ha detto Liska a Cointelegraph. Sebbene ciò possa includere decine di migliaia di organizzazioni in 16 settori, "questo requisito si applica ancora solo a una piccola frazione di organizzazioni negli Stati Uniti".
Ma forse no. Secondo a Bipul Sinha, CEO e co-fondatore di Rubrik, società di sicurezza dei dati, quei settori infrastrutturali citati dalla legge includere servizi finanziari, IT, energia, assistenza sanitaria, trasporti, produzione e strutture commerciali. "In altre parole, quasi tutti", ha scritto in un Fortune articolo di recente.
Un'altra domanda: bisogna denunciare ogni attacco, anche quelli ritenuti relativamente banali? La Cybersecurity and Infrastructure Security Agency, dove le società riferiranno, ha recentemente commentato che anche piccoli atti potrebbero essere considerati segnalabili. "A causa del rischio incombente di attacchi informatici russi […] qualsiasi incidente potrebbe fornire importanti briciole di pane che portano a un sofisticato aggressore", il New York Times segnalati.
È giusto presumere che la guerra renda più urgente la necessità di intraprendere azioni preventive? Dopotutto, il presidente Joe Biden, tra gli altri, ha sollevato la probabilità di attacchi informatici di ritorsione da parte del governo russo. Ma Liska non pensa che questa preoccupazione abbia avuto successo, almeno non ancora:
“Gli attacchi ransomware di ritorsione dopo l'invasione russa dell'Ucraina non sembrano essersi concretizzati. Come gran parte della guerra, c'era uno scarso coordinamento da parte della Russia, quindi nessun gruppo di ransomware che avrebbe potuto essere mobilitato non lo era".
Tuttavia, quasi tre quarti di tutti i soldi guadagnati attraverso attacchi ransomware sono andati a hacker collegati alla Russia nel 2021, secondo a Chainalysis, quindi non si può escludere un aumento dell'attività da lì.
Non una soluzione a sé stante
Gli algoritmi di apprendimento automatico che identificano e tracciano gli attori ransomware che cercano il pagamento tramite blockchain – e quasi tutti i ransomware sono abilitati per blockchain – miglioreranno senza dubbio ora, ha affermato Bieda. Ma le soluzioni di apprendimento automatico sono solo "uno dei fattori che supportano l'analisi blockchain e non una soluzione autonoma". C'è ancora un bisogno critico "di un'ampia cooperazione nel settore tra le forze dell'ordine, le società investigative blockchain, i fornitori di servizi di asset virtuali e, naturalmente, le vittime di frodi nella blockchain".
Dalal ha aggiunto che rimangono molte sfide tecniche, principalmente il risultato della natura unica dello pseudo-anonimato, spiegando a Cointelegraph:
“La maggior parte delle blockchain pubbliche sono senza autorizzazione e gli utenti possono creare tutti gli indirizzi che vogliono. Le transazioni diventano ancora più complesse poiché ci sono tumbler e altri servizi di mixaggio che sono in grado di mescolare denaro contaminato con molti altri. Ciò aumenta la complessità combinatoria dell'identificazione degli autori che si nascondono dietro più indirizzi".
Più progressi?
Tuttavia, le cose sembrano andare nella giusta direzione. "Penso che stiamo facendo progressi significativi come settore", ha aggiunto Liska, "e lo abbiamo fatto in modo relativamente veloce". Diverse aziende hanno svolto un lavoro molto innovativo in questo settore "e anche il Dipartimento del Tesoro e altre agenzie governative stanno iniziando a vedere il valore dell'analisi blockchain".
D'altra parte, mentre l'analisi blockchain sta chiaramente facendo passi da gigante, "in questo momento si stanno facendo così tanti soldi da ransomware e furto di criptovalute che anche l'impatto che questo lavoro sta avendo impallidisce rispetto al problema generale", ha aggiunto Liska.
Mentre Bieda vede progressi, sarà comunque una sfida convincere le aziende a segnalare le frodi blockchain, soprattutto al di fuori degli Stati Uniti. "Negli ultimi due anni, più di 11,000 vittime di frodi in blockchain hanno raggiunto Coinfirm attraverso il nostro sito Web Reclaim Crypto", ha affermato. “Una delle domande che ci poniamo è: 'Hai denunciato il furto alle forze dell'ordine?' — e molte vittime no.
Dalal ha affermato che il mandato del governo è un passo importante nella giusta direzione. "Questo sicuramente cambierà il gioco", ha detto a Cointelegraph, poiché gli attaccanti non saranno in grado di ripetere l'uso delle loro tecniche preferite, "e dovranno muoversi molto più velocemente per attaccare più bersagli. Ridurrà anche lo stigma legato agli attacchi e le potenziali vittime saranno in grado di proteggersi meglio".
Fonte: https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analysis