2020 war ein Rekordjahr für Ransomware-Zahlungen (692 Millionen US-Dollar), und 2021 wird wahrscheinlich höher ausfallen, wenn alle Daten vorliegen, so Chainalysis kürzlich berichtet. Darüber hinaus wird erwartet, dass mit dem Ausbruch des Krieges zwischen der Ukraine und Russland auch der Einsatz von Ransomware als geopolitisches Instrument – und nicht nur zur Geldraub – zunehmen wird.
Doch ein neues US-Gesetz könnte dieser zunehmenden Erpressungswelle Einhalt gebieten. US-Präsident Joe Biden kürzlich unterzeichnet Der Strengthening American Cybersecurity Act oder der Peters-Gesetzentwurf hat Infrastrukturunternehmen dazu verpflichtet, der Regierung erhebliche Cyberangriffe innerhalb von 72 Stunden und innerhalb von 24 Stunden zu melden, wenn sie eine Ransomware-Zahlung leisten.
Warum ist das wichtig? Die Blockchain-Analyse hat sich bei der Störung von Ransomware-Netzwerken als zunehmend wirksam erwiesen, wie im Fall Colonial Pipeline im vergangenen Jahr zu sehen war, wo das Justizministerium in der Lage war erholen 2.3 Millionen US-Dollar des Gesamtbetrags, den ein Pipeline-Unternehmen an einen Ransomware-Ring gezahlt hat.
Um diesen positiven Trend aufrechtzuerhalten, sind jedoch mehr Daten erforderlich und diese müssen zeitnaher bereitgestellt werden, insbesondere die Kryptoadressen der Übeltäter, wie es bei fast allen Ransomware-Angriffen der Fall ist beteiligen Blockchain-basierte Kryptowährungen, normalerweise Bitcoin (BTC).
Hier soll das neue Gesetz Abhilfe schaffen, denn bisher melden Ransomware-Opfer die Erpressung nur selten bei Behörden oder anderen.
„Es wird sehr hilfreich sein“, sagte Roman Bieda, Leiter der Betrugsermittlung bei Coinfirm, gegenüber Cointelegraph. „Die Möglichkeit, bestimmte Coins, Adressen oder Transaktionen sofort als ‚riskant‘ zu ‚kennzeichnen‘ […] ermöglicht es allen Benutzern, das Risiko noch vor einem Waschversuch zu erkennen.“
„Es wird die Analyse durch forensische Blockchain-Forscher absolut unterstützen“, sagte Allan Liska, ein leitender Geheimdienstanalyst bei Recorded Future, gegenüber Cointelegraph. „Während Ransomware-Gruppen häufig Brieftaschen für jeden Ransomware-Angriff austauschen, fließt dieses Geld schließlich in eine einzige Brieftasche zurück. Blockchain-Forscher sind sehr gut darin geworden, diese Punkte zu verbinden.“ Dies gelang ihnen trotz Vermischung und anderer Taktiken, die von Ransomware-Ringen und ihren konföderierten Geldwäschern angewendet wurden, fügte er hinzu.
Siddhartha Dalal, Professor für Berufspraxis an der Columbia University, stimmte zu. Letztes Jahr war Dalal Co-Autor eines Artikels betitelt „Identifizierung von Ransomware-Akteuren im Bitcoin-Netzwerk“, in dem beschrieben wurde, wie er und seine Forscherkollegen mithilfe von Graph-Machine-Learning-Algorithmen und Blockchain-Analyse Ransomware-Angreifer mit „85 % Vorhersagegenauigkeit im Testdatensatz“ identifizieren konnten.
Obwohl ihre Ergebnisse ermutigend waren, gaben die Autoren an, dass sie eine noch bessere Genauigkeit erreichen könnten, indem sie ihre Algorithmen weiter verbessern und, kritisch, „mehr Daten erhalten, die zuverlässiger sind“.
Die Herausforderung für forensische Modellierer besteht hier darin, dass sie mit stark unausgewogenen oder verzerrten Daten arbeiten. Die Forscher der Columbia University konnten auf 400 Millionen Bitcoin-Transaktionen und fast 40 Millionen Bitcoin-Adressen zurückgreifen, aber nur 143 davon waren bestätigte Ransomware-Adressen. Mit anderen Worten, die nicht betrügerischen Transaktionen überwogen bei weitem die betrügerischen Transaktionen. Bei derart verzerrten Daten markiert das Modell entweder viele Fehlalarme oder lässt die betrügerischen Daten als geringen Prozentsatz aus.
Bieda von Coinfirm lieferte eine Beispiel für dieses Problem in einem Interview letztes Jahr:
„Angenommen, Sie möchten ein Modell bauen, das Fotos von Hunden aus einer Fundgrube von Katzenfotos herauszieht, aber Sie haben einen Trainingsdatensatz mit 1,000 Katzenfotos und nur einem Hundefoto. Ein maschinelles Lernmodell „würde lernen, dass es in Ordnung ist, alle Fotos als Katzenfotos zu behandeln, da die Fehlerspanne [nur] 0.001 beträgt.“
Anders ausgedrückt, der Algorithmus würde „die ganze Zeit nur ‚Katze‘ erraten, was das Modell natürlich unbrauchbar machen würde, selbst wenn es insgesamt eine hohe Genauigkeit erzielt“.
Dalal wurde gefragt, ob diese neue US-Gesetzgebung dazu beitragen würde, den öffentlichen Datensatz „betrügerischer“ Bitcoin- und Krypto-Adressen zu erweitern, der für eine effektivere Blockchain-Analyse von Ransomware-Netzwerken benötigt wird.
„Daran besteht kein Zweifel“, sagte Dalal gegenüber Cointelegraph. „Natürlich sind mehr Daten immer gut für jede Analyse.“ Aber noch wichtiger ist, dass Ransomware-Zahlungen jetzt per Gesetz innerhalb von 24 Stunden aufgedeckt werden, was „eine bessere Chance auf Wiederherstellung und auch Möglichkeiten zur Identifizierung von Servern und Angriffsmethoden ermöglicht, damit andere potenzielle Opfer Abwehrmaßnahmen ergreifen können beschütze sie“, fügte er hinzu. Das liegt daran, dass die meisten Täter dieselbe Malware verwenden, um andere Opfer anzugreifen.
Ein zu wenig genutztes forensisches Tool
Es ist im Allgemeinen nicht bekannt, dass es für die Strafverfolgung von Vorteil ist, wenn Kriminelle Kryptowährungen zur Finanzierung ihrer Aktivitäten nutzen. „Mit der Blockchain-Analyse können Sie die gesamte Lieferkette aufdecken“, sagte Kimberly Grauer, Forschungsdirektorin bei Chainalysis. „Sie können sehen, wo sie ihr Bulletproof-Hosting kaufen, wo sie ihre Malware kaufen, wo ihre Tochtergesellschaft ihren Sitz in Kanada hat“ und so weiter. „Man kann viele Einblicke in diese Gruppen gewinnen“ durch Blockchain-Analyse, fügte sie kürzlich bei einem Chainalysis Media Roundtable in New York City hinzu.
Aber wird dieses Gesetz, dessen Umsetzung noch Monate dauern wird, wirklich helfen? „Es ist positiv, es würde helfen“, antwortete Salman Banaei, Co-Leiter der öffentlichen Ordnung bei Chainalysis, auf derselben Veranstaltung. „Wir haben uns dafür eingesetzt, aber es ist nicht so, dass wir vorher im Blindflug geflogen wären.“ Würde es ihre forensischen Bemühungen deutlich effektiver machen? „Ich weiß nicht, ob uns das viel effektiver machen würde, aber wir würden eine gewisse Verbesserung in Bezug auf die Datenabdeckung erwarten.“
Bis zur Umsetzung des Gesetzes müssen noch Details im Regelsetzungsprozess ausgearbeitet werden, aber eine offensichtliche Frage wurde bereits aufgeworfen: Welche Unternehmen müssen sich daran halten? „Es ist wichtig, sich daran zu erinnern, dass der Gesetzentwurf nur für ‚Unternehmen gilt, die kritische Infrastrukturen besitzen oder betreiben‘“, sagte Liska gegenüber Cointelegraph. Während dies Zehntausende von Organisationen in 16 Sektoren umfassen könnte, gilt „diese Anforderung immer noch nur für einen kleinen Bruchteil der Organisationen in den Vereinigten Staaten“.
Aber vielleicht auch nicht. Nach Bipul Sinha, CEO und Mitbegründer von Rubrik, einem Datensicherheitsunternehmen, die im Gesetz genannten Infrastruktursektoren das Finanzdienstleistungen, IT, Energie, Gesundheitswesen, Transport, Fertigung und kommerzielle Einrichtungen. „Mit anderen Worten, fast jeder“, schrieb er in einem Fortune Artikel vor kurzem.
Noch eine Frage: Muss jeder Angriff gemeldet werden, auch wenn er als relativ trivial gilt? Die Cybersecurity and Infrastructure Security Agency, bei der die Unternehmen Bericht erstatten werden, erklärte kürzlich, dass selbst kleine Handlungen als meldepflichtig gelten könnten. „Aufgrund der drohenden Gefahr russischer Cyberangriffe […] könnte jeder Vorfall wichtige Brotkrümel liefern, die zu einem raffinierten Angreifer führen“, so die New York Times berichtet.
Ist es richtig anzunehmen, dass der Krieg die Notwendigkeit präventiver Maßnahmen dringlicher macht? Immerhin hat unter anderem Präsident Joe Biden die Wahrscheinlichkeit von Cyber-Vergeltungsangriffen der russischen Regierung erhöht. Aber Liska glaubt nicht, dass sich diese Sorge erledigt hat – zumindest noch nicht:
„Die Ransomware-Vergeltungsangriffe nach der russischen Invasion in der Ukraine scheinen nicht stattgefunden zu haben. Wie in weiten Teilen des Krieges war die Koordination seitens Russlands schlecht, so dass Ransomware-Gruppen, die möglicherweise mobilisiert wurden, nicht mobilisiert wurden.“
Dennoch gingen im Jahr 2021 fast drei Viertel aller durch Ransomware-Angriffe verdienten Gelder an Hacker mit Verbindungen zu Russland. gemäß zu Chainalysis, sodass ein Anstieg der Aktivität von dort aus nicht ausgeschlossen werden kann.
Keine Insellösung
Algorithmen für maschinelles Lernen, die Ransomware-Akteure identifizieren und verfolgen, die eine Blockchain-Zahlung suchen – und fast alle Ransomware ist Blockchain-fähig – werden sich jetzt zweifellos verbessern, sagte Bieda. Aber Lösungen für maschinelles Lernen sind nur „einer der Faktoren, die die Blockchain-Analyse unterstützen, und keine eigenständige Lösung“. Es besteht nach wie vor ein kritischer Bedarf „für eine breite Zusammenarbeit in der Branche zwischen Strafverfolgungsbehörden, Blockchain-Ermittlungsunternehmen, Anbietern von Diensten für virtuelle Vermögenswerte und natürlich Opfern von Betrug in der Blockchain“.
Dalal fügte hinzu, dass noch viele technische Herausforderungen bestehen, die hauptsächlich auf die einzigartige Natur der Pseudo-Anonymität zurückzuführen sind, und erklärte gegenüber Cointelegraph:
„Die meisten öffentlichen Blockchains sind genehmigungsfrei und Benutzer können so viele Adressen erstellen, wie sie möchten. Die Transaktionen werden noch komplexer, da es Tumbler und andere Mischdienste gibt, die in der Lage sind, verdorbenes Geld mit vielen anderen zu mischen. Dies erhöht die kombinatorische Komplexität der Identifizierung von Tätern, die sich hinter mehreren Adressen verstecken.“
Mehr Fortschritt?
Dennoch scheinen sich die Dinge in die richtige Richtung zu bewegen. „Ich denke, wir machen als Branche erhebliche Fortschritte“, fügte Liska hinzu, „und das relativ schnell.“ Eine Reihe von Unternehmen haben in diesem Bereich sehr innovative Arbeit geleistet, „und das Finanzministerium und andere Regierungsbehörden beginnen auch, den Wert der Blockchain-Analyse zu erkennen“.
Auf der anderen Seite, während die Blockchain-Analyse eindeutig Fortschritte macht, „wird derzeit so viel Geld mit Ransomware und Kryptowährungsdiebstahl verdient, dass selbst die Auswirkungen dieser Arbeit im Vergleich zum Gesamtproblem verblasst“, fügte Liska hinzu.
Obwohl Bieda Fortschritte sieht, wird es immer noch eine Herausforderung sein, Unternehmen dazu zu bringen, Blockchain-Betrug zu melden, insbesondere außerhalb der Vereinigten Staaten. „In den letzten zwei Jahren haben mehr als 11,000 Opfer von Blockchain-Betrug Coinfirm über unsere Reclaim Crypto-Website erreicht“, sagte er. „Eine der Fragen, die wir stellen, lautet: ‚Haben Sie den Diebstahl den Strafverfolgungsbehörden gemeldet?' – und viele Opfer nicht.“
Dalal sagte, das Regierungsmandat sei ein wichtiger Schritt in die richtige Richtung. „Dies wird sicherlich ein Game Changer sein“, sagte er gegenüber Cointelegraph, da Angreifer nicht in der Lage sein werden, die Anwendung ihrer bevorzugten Techniken zu wiederholen, „und sie sich viel schneller bewegen müssen, um mehrere Ziele anzugreifen. Es wird auch das mit den Angriffen verbundene Stigma verringern und potenzielle Opfer können sich besser schützen.“
Quelle: https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analysis