freedmanclub.com
С принятием закона инфраструктурные компании должны будут в течении суток сообщать о совершенных платежах хакерам, использующим программы-вымогатели. Это, безусловно, повысит раскрываемость таких преступлений и безопасность.
В 2020 году программы-вымогатели похитили более 690 миллионов долларов. Данные за 2021 год еще не собраны, но сумма похищенного в 2021 году должна превысить показатель 2020 года. В текущем году с нарастанием геополитических рисков активность программ-вымогателей увеличилась, и они стали использоваться не только для хищения денег, но и для формирования геополитического давления.
Новый закон, который законодатели США недавно приняли, должен помочь в борьбе с такими программами-вымогателями. Данный закон, известный как законопроект Питерса, обязывает инфраструктурные компании сообщать в течении 72 часов правительству о совершенных в отношении них крупных кибератаках, а в течение 24 часов о случаях когда эти компании совершают платеж с помощью программ-вымогателей.
Актуальность этого законопроекта исходит из того, что для выявления вымогателей все активнее используются технологии анализа блокчейн транзакций, которые показали высокую эффективность в отслеживании транзакций вымогателей. Ярким примером этого служит прошлогодняя история американской компании Colonial Pipeline, которая заплатила вымогателям деньги, и часть этих средств в размере 2,3 миллиона долларов США министерству юстиции США удалось в итоге вернуть.
Для расширения этого положительного опыта необходимо иметь как можно больше данных, и получать их как можно скорее. Как правило, вымогатели требуют выкуп в криптовалюте, преимущественно в биткоине, и чем раньше власти получат данные о крипто-адресах вымогателей, тем оперативнее они смогут реагировать.
В отношении своевременного получения данных, как раз, и поможет новый закон, т.к. ранее небольшое количество компаний, столкнувшихся с программами-вымогателями, сообщали об этом государственным органам.
«Законопроект очень полезен», — говорит Роман Биеда, глава отдела расследований мошенничества в Coinfirm. «Возможность быстро «помечать» похищенные монеты, адреса злоумышленников или транзакции по переводу средств мошенникам как «рискованные» позволит всем пользователям обнаруживать риски определенных монет еще до попытки их дальнейшего перевода и использования».
«Это несомненно окажет помощь при проведении анализа судебно-медицинскими экспертами по блокчейну», — говорит Аллан Лиска, старший аналитик разведки в Recorded Future. «Несмотря на то, что вымогатели постоянно меняют номера своих кошельков при каждой атаке, в конечном счете все транзакции ведут на один счет. Аналитики блокчейна научились очень хорошо отслеживать всю цепочку транзакций до последнего звена. Попытки злоумышленников запутать следы и применение ими различных тактик по уходу от слежки, в конечном счете, не помогли им».
Сиддхартха Далал, профессор профессиональной практики Колумбийского университета, соглашается с вышесказанным. В ушедшем году Далал в соавторстве опубликовал статью под названием «Идентификация субъектов программ-вымогателей в сети Биткоин». В этой статье описывалось, как он и его коллеги-исследователи научились выявлять вымогателей с высокой точностью, достигающей 85%, используя алгоритмы машинного обучения на основе графов и анализ блокчейна.
Несмотря на уже высокую точность, авторы статьи утверждают, что могут повысить этот показатель, улучшив свои алгоритмы за счет получения большего объема надежных данных.
Основным препятствием в их работе является то, что данные, с которыми они работают, часто несбалансированны и искажены. Аналитики Колумбийского университета проанализировали 400 миллионов транзакций и 40 миллионов адресов кошельков, но смогли однозначно идентифицировать только 143 адреса. Принадлежащих создателям программ-вымогателей. Иными словами, в анализируемых данных преобладали обычные, не связанные с мошенничествами, транзакции. При работе с такой выборкой данных, алгоритм рискует либо ошибочно пометить обычные транзакции как мошеннические, либо упустить мошеннические транзакции.
Биеда из Coinfirm приводит в интервью такой пример этой проблемы:
«Допустим, вы хотите построить модель, которая будет извлекать фотографии собак из множества фотографий кошек, но у вас есть обучающий набор данных с 1000 фотографиями кошек и только одной фотографией собаки. Модель машинного обучения «узнала бы, что все фотографии можно рассматривать как фотографии кошек, поскольку погрешность составляет всего 0,001».
Иначе говоря, алгоритм постоянно угадывал бы изображение кошки, что было бы бессмысленно, даже несмотря на высокий процент совпадений.
Позволит ли новый закон увеличить количество необходимых для качественного анализа данных о «мошеннических» биткоинах и крипто-адресах?
Дала уверен, что безусловно, да, поможет, ведь чем больше данных, тем лучше анализ. Также он отмечает, что достаточно важным является и тот момент, что информация о транзакциях будет доступна в первые 24 часа после их совершения. Это позволит обнаружить серверы, с которых происходит атака, выявить методы атаки и предупредить других потенциальных жертв, которые смогут подготовиться к такого рода атакам. Зачастую злоумышленники используют одни те же способы и программные средства атаки.
Опыт правоохранительных органов
Правоохранительные органы уже занимаются анализом блокчейна, когда преступники используют криптовалюту для финансирования своей деятельности. «Мы можем, используя анализ блокчейна, раскрывать всю их цепочку поставок», — говорит Кимберли Грауэр, директор по исследованиям в Chainalysis. «Мы можем увидеть, где они покупают свой пуленепробиваемый хостинг, где они приобретают свое вредоносное ПО, их филиал в Канаде и так далее». «Мы получаем много информации об этих группах с помощью анализа блокчейна», добавляет она.
Поможет ли этот закон на самом деле, ведь на его реализацию уйдут месяцы? «Да, безусловно, поможет», — говорит Салман Банаи, соруководитель отдела общественной политики в Chainalysis. «Мы всегда говорили об этом». «Я не знаю точно, насколько эффективнее мы станем проводить наш анализ, но мы ожидаем роста его эффективности».
В законе еще предстоит доработать детали его использования, прежде чем он вступит в силу. К примеру, немаловажен вопрос о том, какие компании должны будут его соблюдать. «Важно помнить, что законопроект распространяется только на «организации, которые владеют критической инфраструктурой или управляют ею», — говорит Лиска. Несмотря на то, что под это определение попадают десятки тысяч организаций в 16 секторах, этот закон охватывает небольшую часть компаний, работающих в Соединенных Штатах.
Но если учесть, что в число секторов инфраструктуры, упомянутых в законе, входят финансовые услуги, ИТ, энергетика, здравоохранение, транспорт, производство и коммерческие объекты, то можно сделать вывод, что под действие закона подпадают почти все компании.
Возникает и другой вопрос: необходимо ли сообщать о каждой атаке, даже о тех, которые считаются условно обычными? Агентство по кибербезопасности и безопасности инфраструктуры, куда компании должны будут отчитываться, недавно прокомментировало, что даже небольшие действия могут считаться подлежащими регистрации. «Из-за надвигающегося риска кибератак со стороны России любой инцидент может дать важные сведения, ведущие к изощренному злоумышленнику», — пишет New York Times.
Можно ли сказать, что рост геополитической напряженности способствует скорейшему принятию превентивных мер? Президент США Джо Байден отмечал, что высока вероятность кибератак со стороны российского правительства. Но судя по всему это беспокойство не оправдалось — по крайней мере, пока.
По данным Chainalysis, в 2021 году практически три четверти всех денег, полученных в результате атак программ-вымогателей, достались хакерам, связанным с Россией, поэтому они считают, что нельзя исключать роста активности оттуда.
Закон будет эффективен при комплексном подходе к проблеме
По словам Биеды, алгоритмы машинного обучения, которые выявляют и отслеживают участников программ-вымогателей, пытающихся получить платеж через блокчейн, — а почти все программы-вымогатели поддерживают блокчейн — теперь, несомненно, улучшатся. Но решения для машинного обучения являются лишь «одним из факторов, поддерживающих анализ блокчейна, а не отдельным решением». По-прежнему существует острая необходимость «широкого сотрудничества в отрасли между правоохранительными органами, компаниями по расследованию блокчейнов, поставщиками услуг виртуальных активов и, конечно же, жертвами мошенничества в блокчейне».
Далал добавляет, что остается много технических проблем, в основном из-за уникальной природы псевдоанонимности:
«Большинство общедоступных блокчейнов не требуют идентификации личности, и пользователи могут создавать столько адресов, сколько захотят. Транзакции становятся еще более сложными, поскольку существуют тумблеры и другие службы смешивания, которые могут смешивать похищенные деньги со многими другими. Это увеличивает комбинаторную сложность выявления преступников, скрывающихся за несколькими адресами».
Эффективность раскрытия преступлений увеличится
Тем не менее, похоже, дело движется в правильном направлении. «Я думаю, что мы добились значительного прогресса как отрасль, — добавляет Лиска, — и мы сделали это относительно быстро». Ряд компаний проводят очень новаторскую работу в этой области, и Министерство финансов и другие правительственные учреждения также начинают видеть ценность анализа блокчейна.
«С другой стороны, хотя анализ блокчейна явно продвигается вперед, сейчас так много денег зарабатывается на программах-вымогателях и краже криптовалюты, что даже влияние этой работы меркнет по сравнению с общей проблемой», — добавляет Лиска.
Хотя Биеда видит прогресс, заставить фирмы сообщать о мошенничестве с блокчейном по-прежнему будет непросто, особенно за пределами США. «За последние два года более 11 000 жертв мошенничества с блокчейном достигли Coinfirm через наш веб-сайт Reclaim Crypto», — говорит он. «Один из вопросов, который мы им задаем: «Вы сообщили о воровстве в правоохранительные органы?» — и многие жертвы не обращаются в правоохранительные органы».
Далал говорит, что правительственный мандат является важным шагом в правильном направлении: «Это, безусловно, изменит правила игры, поскольку злоумышленники не смогут повторять свои методы, и им придется постоянно менять их, чтобы атаковать несколько целей. Это также поможет потенциальным жертвам лучше защитить себя.