Il registro dei bitcoin come arma segreta nella guerra contro il ransomware

Timestamp: 16 settembre 2021 9:55
Nodo di origine: 1076921

Il ransomware, un software dannoso che crittografa i computer e li tiene "bloccati" fino al pagamento di un riscatto, è la minaccia informatica in più rapida crescita al mondo, secondo Coinfirm. I recenti attacchi a infrastrutture nazionali critiche, come l'incursione del Colonial Pipeline che ha paralizzato le consegne di petrolio e gas per una settimana lungo la costa orientale degli Stati Uniti, hanno fatto scattare l'allarme. I pagamenti del riscatto vengono quasi sempre effettuati in Bitcoin o altre criptovalute. 

Ma mentre molti sono rimasti scossi dall'attacco al Colonial Pipeline di May - l'amministrazione Biden ha emesso nuove normative sull'oleodotto in seguito - relativamente pochi sono a conoscenza dell'atto finale di quel dramma: utilizzando l'analisi blockchain, l'FBI è stato in grado di seguire il flusso di fondi per i pagamenti del riscatto e recuperare circa l'85% del Bitcoin pagato al gruppo ransomware DarkSide. 

In effetti, l'analisi blockchain, che può essere ulteriormente migliorata con algoritmi di apprendimento automatico, è una nuova tecnica promettente nella battaglia contro il ransomware. Prende alcuni degli attributi principali della crittografia, ad esempio decentralizzazione e trasparenza, e utilizza tali proprietà contro criminali di malware. 

Mentre i detrattori della criptovaluta tendono a enfatizzare la sua pseudonimità - e l'attrattiva per gli elementi criminali per questo motivo - tendono a trascurare la visibilità relativa delle transazioni BTC. Il registro Bitcoin viene aggiornato e distribuito a decine di migliaia di computer in tutto il mondo in tempo reale ogni giorno e le sue transazioni sono visibili a tutti. Analizzando i flussi, gli specialisti forensi possono spesso identificare attività sospetta. Questo potrebbe rivelarsi il tallone d'Achille del racket dei ransomware.

Un mezzo sottoutilizzato

"Il registro blockchain su cui vengono registrate le transazioni Bitcoin è uno strumento forense sottoutilizzato che può essere utilizzato dalle forze dell'ordine e da altri per identificare e interrompere attività illecite", Michael Morrell, ex direttore ad interim della US Central Intelligence Agency, ha dichiarato in un recente blog, aggiungendo:

"In parole povere, l'analisi blockchain è uno strumento molto efficace per combattere il crimine e raccogliere informazioni.[...] Un esperto dell'ecosistema delle criptovalute ha definito la tecnologia blockchain un 'vantaggio per la sorveglianza'". 

Su questa linea, tre ricercatori della Columbia University di recente pubblicato un documento, "Identificazione degli attori ransomware nella rete Bitcoin", che descrive come sono stati in grado di utilizzare algoritmi di apprendimento automatico grafico e analisi blockchain per identificare gli aggressori ransomware con "precisione dell'85% sul set di dati di test".

Quelli in prima linea nella lotta contro il ransomware vedono la promessa nell'analisi blockchain. "Anche se a prima vista può sembrare che la criptovaluta abiliti il ​​ransomware, la criptovaluta è in realtà fondamentale per combatterlo", dice a Magazine Gurvais Grigg, chief technology officer del settore pubblico globale di Chainalysis, aggiungendo:

“Con gli strumenti giusti, le forze dell'ordine possono seguire il denaro sulla blockchain per comprendere meglio e interrompere le operazioni dell'organizzazione e la catena di approvvigionamento. Questo è un approccio di comprovato successo, come abbiamo visto nella "eliminazione" di gennaio del ceppo di ransomware NetWalker".

Se l'analisi blockchain da sola sia sufficiente per contrastare le incursioni di ransomware o se debba essere unita ad altre tattiche, come esercitare pressioni politico/economiche sui paesi stranieri che tollerano i gruppi di ransomware, è un'altra questione.

Smascherare i criminali?

Clifford Neuman, professore associato di pratica informatica presso la University of Southern California, ritiene che l'analisi blockchain sia uno strumento forense sottoutilizzato. “Molte persone, inclusi i criminali, credono che Bitcoin sia anonimo. In effetti, è lungi dall'essere così in quanto il flusso di fondi è più visibile sulla blockchain "pubblica" di quanto non lo sia in quasi tutti gli altri tipi di transazioni". Aggiunge: "Il trucco è legare gli endpoint agli individui e a volte gli strumenti di analisi blockchain possono essere utilizzati per fare questo collegamento".

Un mezzo valido per smascherare gli aggressori ransomware? "Sì, assolutamente", dice a Magazine Dave Jevans, CEO della società di criptovalute CipherTrace. "Utilizzare un'efficace analisi blockchain, software di intelligence sulle criptovalute" - il tipo che produce la sua azienda - "per tracciare dove gli attori del ransomware stanno spostando i loro fondi può portare gli investigatori alle loro vere identità mentre tentano di portare le loro criptovalute alla fiat". 

David Carlisle, direttore degli affari politici e normativi presso la società di analisi Elliptic, dice a Magazine: "L'analisi della blockchain è già una tecnica valida e comprovata per consentire alle forze dell'ordine di interrompere le attività di queste reti, come ha chiarito il caso Colonial Pipeline".

Entro pochi giorni dal pagamento del riscatto dell'8 maggio da parte di Colonial Pipeline, Elliptic è stata in grado di identificare il portafoglio Bitcoin che ha ricevuto il pagamento. Inoltre, "[il portafoglio] ha ricevuto pagamenti in Bitcoin da marzo per un totale di $ 17.5 milioni", racconta studio legale Kelley Drye & Warren LLP. Elliptic è stato aiutato dal fatto che i malfattori non avevano usato "miscelatori" per oscurare ulteriormente le loro tracce. Carlisle aggiunge: 

"La trasparenza sottostante di Bitcoin e di altre risorse crittografiche significa che le forze dell'ordine possono spesso ottenere un livello di conoscenza dell'attività di riciclaggio di denaro che non sarebbe possibile con le valute legali".

Una spinta dall'apprendimento automatico?

L'apprendimento automatico (ML) è una di quelle tecnologie emergenti, come la blockchain, per le quali ogni settimana sembrano essere scoperti nuovi casi d'uso. Il ML può aiutare anche nella guerra contro il ransomware?

“Assolutamente sì”, ha detto a Magazine Allan Liska, analista senior di intelligence di Recorded Future, aggiungendo: “Dato il gran numero di transazioni dannose che si verificano in un dato momento e la crescente sofisticatezza di alcuni gruppi di ransomware, le capacità di riciclaggio di denaro Manuale l'analisi è diventata meno efficace e l'apprendimento automatico è necessario per monitorare efficacemente i segni rivelatori di transazioni dannose".

"Il machine learning è molto promettente nella lotta ai crimini", informa Magazine Roman Bieda, capo delle indagini sulle frodi di Coinfirm, ma richiede un'enorme quantità di dati per essere efficace. È relativamente facile acquisire indirizzi Bitcoin, che sono disponibili a milioni, ma un set di dati su cui addestrare e testare un modello di apprendimento richiede anche un certo numero di indirizzi Bitcoin "fraudolenti", ovvero attori di ransomware confermati. "Altrimenti, il modello segnerà molti falsi positivi o ometterà i dati fraudolenti come una percentuale minore", afferma Bieda.

Supponi di voler costruire un modello che estragga foto di cani da una serie di foto di gatti, ma disponi di un set di dati di addestramento con 1,000 foto di gatti e solo una foto di cani. Un modello ML “sarebbe imparare che va bene trattare tutte le foto come foto di gatti poiché il margine di errore è [solo] 0.001", osserva Bieda. In altre parole, l'algoritmo indovinerebbe sempre "gatto", il che renderebbe il modello inutile, ovviamente, anche se ha ottenuto un punteggio elevato in termini di precisione complessiva.  

Nello studio della Columbia University, i ricercatori hanno utilizzato 400 milioni di transazioni Bitcoin e quasi 40 milioni di indirizzi Bitcoin, ma solo 143 di questi erano indirizzi ransomware confermati. 

"Mostriamo che i sottografi molto locali di tali attori noti sono sufficienti per differenziare tra ransomware, attori casuali e di gioco d'azzardo con un'accuratezza di previsione dell'85% sul set di dati di test", hanno riferito gli autori, aggiungendo che "Un ulteriore miglioramento dovrebbe essere possibile migliorando il clustering algoritmi”. 

Hanno aggiunto, tuttavia, che "Ottenere più dati più affidabili migliorerebbe la precisione", rendendo il modello più "sensibile" ed evitando il tipo di problema descritto sopra da Bieda, presumibilmente. 

In questo senso, il Dipartimento per la sicurezza interna degli Stati Uniti ha emesso una direttiva sulla scia dell'attacco al Colonial Pipeline che richiedeva alle compagnie di gasdotti di segnalare gli attacchi informatici. La segnalazione degli attacchi era stata facoltativa prima. Mandati come questi aiuteranno probabilmente a costruire un set di dati pubblico di indirizzi "fraudolenti" necessari per un'efficace analisi blockchain. Aggiunge Carlisle: "Le partnership pubblico-privato devono concentrarsi sulla condivisione di informazioni finanziarie relative agli attacchi ransomware".

Gran parte dell'analisi blockchain si basa sul concetto che gli aggressori possono essere smascherati dopo che si è verificato un attacco. Ma le forze dell'ordine, e in particolare le vittime di ransomware, preferirebbero che le aggressioni non avvengano in primo luogo. Secondo Jevans, l'analisi blockchain può anche consentire alle forze dell'ordine di agire preventivamente. Dice alla rivista:

"Mentre gli algoritmi di clustering blockchain in genere richiedono che qualcuno effettui un pagamento in un indirizzo per tenere traccia dei fondi e identificare il proprietario, strumenti avanzati come CipherTrace possono produrre informazioni fruibili anche su indirizzi che devono ancora ricevere fondi, come i dati IP che può aiutare gli investigatori”.

Necessario ma non sufficiente?

Alcuni si chiedono, tuttavia, se l'analisi blockchain da sola sia sufficiente per eliminare il ransomware. "L'analisi della blockchain è uno strumento importante nel toolkit delle forze dell'ordine, ma non esiste un solo proiettile d'argento per risolvere il problema del ransomware", afferma Grigg. 

Liska aggiunge: “Anche i migliori strumenti di ricerca e identificazione non sono efficaci se i governi non sono disposti ad accedervi. Fermare le transazioni ransomware richiederà la cooperazione tra entità private e governi”.

Molti attacchi ransomware hanno origine ai confini della Russia, secondo Coinfirm, quindi alcuni chiedono se Vladimir Putin può essere messo sotto pressione per chiudere le operazioni di quei gruppi. "I casi passati mostrano che non si può fare molto contro i paesi legati agli attacchi informatici, anche se ci sono indicatori molto forti che gli hacker siano legati ai servizi segreti", dice Bieda a Magazine. 

Altri si chiedono se l'analisi blockchain possa intaccare il problema del malware. "È troppo presto per cancellare la criptovaluta come veicolo per il ransomware", ha detto a Magazine Edward Cartwright, professore di economia alla De Montfort University. "Anche se ultimamente ci sono state alcune 'buone notizie', la realtà è che i criminali ransomware stanno ancora usando regolarmente Bitcoin come il modo più semplice e anonimo per ottenere riscatti."

Inoltre, anche se Bitcoin diventa troppo radioattivo per i malfattori a causa della sua tracciabilità - "un grande se", secondo Cartwright - "i criminali possono semplicemente passare a valute completamente anonime e non rintracciabili", come Monero e altre monete private, dice.

"Abbiamo davvero bisogno di vedere una maggiore collaborazione tra il settore pubblico e privato per creare profili completi di questi gruppi di ransomware", afferma Jevans. "La condivisione delle informazioni in queste situazioni può essere il proiettile d'argento". 

"Una delle sfide è che i gruppi di ransomware si stanno rivolgendo a metodi offline per spostare Bitcoin", afferma Liska. “Letteralmente, due persone che si incontrano in un parcheggio o in un ristorante con i loro telefoni e la valigetta piena di soldi.” Questi tipi di transazioni sono molto più difficili da tracciare, dice a Magazine, "ma non sono ancora impossibili con tecniche di tracciamento più avanzate".

Ma i malfattori passeranno alle privacy coin?

Che dire del punto di Cartwright secondo cui gli attori del ransomware passeranno semplicemente a monete private come Monero se Bitcoin si dimostrasse troppo tracciabile? Elliptic sta già assistendo a "un aumento significativo" nei tentativi di ottenere pagamenti dalle vittime del ransomware a Monero, ha detto Carlisle a Magazine. "Questo è davvero aumentato dai tempi del caso Colonial Pipeline, quando le implicazioni della tracciabilità di Bitcoin erano chiaramente visibili a tutti gli altri criminali informatici."

Ma anche le privacy coin possono essere rintracciate, anche se è più difficile da fare perché, a differenza di Bitcoin, le privacy coin nascondono gli indirizzi degli utenti e gli importi delle transazioni. Anche alcune giurisdizioni hanno represso sulle privacy coin, o stanno pensando di farlo. Il Giappone ha vietato le monete private nel 2018, ad esempio. Ma c'è anche un problema pratico. Le vittime del ransomware che devono affrontare una scadenza di pagamento spesso hanno difficoltà a trovare scambi che convertiranno la loro valuta fiat in XMR entro il periodo di tempo richiesto per pagare i loro estorsori e sbloccare i loro computer, dice Bieda a Magazine. Le monete private non sono altrettanto supportate dagli scambi crittografici come Bitcoin. Jevans afferma che "Bitcoin è semplicemente la criptovaluta più semplice da acquisire", aggiungendo:

"È improbabile che gli attori del ransomware smettano mai completamente di utilizzare Bitcoin a causa della sua liquidità e dell'accessibilità di Bitcoin per le rampe di uscita fiat rispetto ad altre criptovalute con protezione della privacy".

La maggior parte delle borse regolamentate non offre il trading di Monero, aggiunge Carlisle. "Le vittime possono negoziare con gli aggressori e convincerli ad accettare pagamenti in Bitcoin, ma gli aggressori in genere richiedono una commissione del 10%-15% per i pagamenti Bitcoin superiore a quella che richiederebbero per un pagamento Monero, il che riflette la loro preoccupazione che la tracciabilità di Bitcoin li lascia vulnerabili”. 

Bandire le criptovalute è una soluzione?

Recentemente, l'ex supervisore della Federal Reserve Bank di New York Lee Reiners suggerimenti in un articolo di opinione del Wall Street Journal che "Esiste un modo più semplice ed efficace per fermare la pandemia di ransomware: vietare la criptovaluta". Dopotutto, ha aggiunto, "Il ransomware non può avere successo senza criptovaluta". 

"Sembra una soluzione che sarebbe persino peggiore del problema", commenta Benjamin Sauter, avvocato di Kobre & Kim LLP. "Tuttavia, riflette la percezione, in particolare tra molti responsabili politici negli Stati Uniti, che la criptovaluta offra un rifugio per i criminali che deve essere limitato", dice a Magazine. 

"La redditività per gli attori delle minacce che stanno portando i nostri attacchi ransomware diminuirebbe sicuramente se la criptovaluta non esistesse, poiché il riciclaggio di fiat è intrinsecamente più costoso", ha detto a Magazine Bill Siegel, co-fondatore e CEO della società di recupero ransomware Coveware. "Questi attacchi avverrebbero comunque".

"Non credo che abbia senso vietare la criptovaluta", aggiunge Neuman. “Le leggi esistenti in vigore negli Stati Uniti richiedono la raccolta di informazioni su determinati tipi di strumenti di pagamento per le transazioni oltre una certa soglia e possiamo applicare tali regole anche alle criptovalute. Se vietiamo la criptovaluta, i criminali semplicemente sposteranno le loro richieste di pagamento su altri strumenti".

Un “gioco del gatto col topo”

Andando avanti, i gruppi ransomware dovranno convivere con il rischio crescente di essere scoperti utilizzando Bitcoin, afferma Liska, "o decidere se sono disposti ad accettare pagamenti di riscatto significativamente inferiori per preservare meglio il loro anonimato".  

Questo rimane "un gioco del gatto col topo tra i criminali e le forze dell'ordine", aggiunge Cartwright, "e i recenti successi delle forze dell'ordine sono più dovuti al fatto che i criminali sono stati negligenti o hanno commesso errori [piuttosto] che a un difetto fondamentale [dei criminali] modello di business."

Potrebbe essere necessario uno sforzo globale per invertire la rotta sul ransomware. Tutti i paesi devono regolamentare le piattaforme di scambio di criptovalute, afferma Carlisle, "altrimenti gli aggressori continueranno ad avere facili vie per riciclare i loro proventi di reato", mentre Bieda prevede che le criptovalute continueranno ad essere utilizzate per il pagamento di riscatti "fino a rigorose normative globali e regionali come con l'introduzione di dure sanzioni per KYC poco brillante".

È importante contestualizzare anche il ransomware. "Il ransomware è semplicemente il metodo più recente utilizzato dai criminali per monetizzare i propri exploit", afferma Neuman. "A un certo punto potrebbe smettere di essere chiamato ransomware, ma gli attacchi ai sistemi informatici assumeranno altre forme". Aggiunge Sauter: "Tutti vincerebbero se esistesse una soluzione basata sul settore".

In sintesi, le persone tendono a sopravvalutare l'anonimato di Bitcoin e sottovalutarne la trasparenza. "Ci saranno sempre cattivi attori", come osserva Jevans, ma i gruppi di ransomware si renderanno conto che i pagamenti crittografici sono tracciabili, lasciandoli vulnerabili e forse anche incitandoli a trovare altri mezzi con cui perseguire il loro perfido commercio.

Nel frattempo, "i continui progressi nell'analisi della blockchain forniranno agli investigatori maggiori e persino migliori informazioni nel tempo", afferma Carlisle. E poiché le forze dell'ordine diventano sempre più abili nell'uso di questi strumenti di analisi, "Possiamo aspettarci di vedere più, e più grandi, sequestri di [ransomware] nel tempo".

Fonte: https://cointelegraph.com/magazine/2021/09/16/bitcoin-ledger-as-a-secret-weapon-in-war-against-ransomware

Timestamp:

Di più da Cointelegraph