Искаженные данные: Как новый закон США может стимулировать анализ блокчейна?

2020 год стал рекордным годом по выплатам за выкупное ПО (692 миллиона долларов), а 2021 год, вероятно, будет еще выше, когда будут получены все данные, сообщил недавно Chainalysis. Более того, с началом войны между Украиной и Россией ожидается рост использования ransomware в качестве геополитического инструмента, а не только для получения денег.

Однако новый американский закон может остановить этот растущий поток вымогателей. Президент США Джо Байден недавно подписал Закон об укреплении американской кибербезопасности, или законопроект Питерса, который требует от инфраструктурных компаний сообщать правительству о существенных кибератаках в течение 72 часов и в течение 24 часов, если они совершают платеж за выкуп.

Почему это важно? Анализ блокчейна показывает все большую эффективность в разрушении сетей выкупных программ, как это видно на примере дела Colonial Pipeline в прошлом году, где Министерство юстиции смогло вернуть 2,3 миллиона долларов из общей суммы, которую трубопроводная компания заплатила банде выкупных программ. 

Однако для поддержания этой положительной тенденции необходимо больше данных, и они должны предоставляться более своевременно, в частности, криптоадреса злоумышленников, поскольку почти все атаки с целью выкупа связаны с криптовалютами на основе блокчейна, как правило, биткоином (BTC).

Именно здесь новый закон должен помочь, поскольку до сих пор жертвы ransomware редко сообщали о вымогательстве государственным органам или другим лицам. 

Президент США Джо Байден и директор Управления по управлению и бюджету Шаланда Янг в Белом доме, 28 марта 2022 года. Источник: Reuters/Kevin Lamarque

«Это будет очень полезно», — сказал Cointelegraph Роман Биеда, руководитель отдела расследований мошенничества в Coinfirm. «Возможность немедленно «пометить» конкретные монеты, адреса или транзакции как «рискованные» […] позволит всем пользователям заметить риск еще до любой попытки отмывания».

«Это абсолютно точно поможет в анализе блокчейна криминалистами», — сказал Cointelegraph Аллан Лиска, старший аналитик компании Recorded Future. «Хотя группы, занимающиеся вымогательством, часто меняют кошельки для каждой атаки, эти деньги в конечном итоге возвращаются в один кошелек. Исследователи блокчейна очень хорошо научились соединять эти точки». Им удалось это сделать, несмотря на смешивание и другие тактики, используемые группами вымогателей и их единомышленниками для отмывания денег, добавил он. 

Сиддхартха Далал, профессор профессиональной практики Колумбийского университета, согласен с ним. В прошлом году Далал стал соавтором работы под названием «Identifying Ransomware Actors In The Bitcoin Network», в которой описывалось, как он и его коллеги-исследователи смогли использовать алгоритмы машинного обучения графов и анализ блокчейна для выявления злоумышленников, атакующих программы-вымогатели, с «85% точностью предсказания на тестовом наборе данных». 

Хотя полученные результаты обнадеживают, авторы заявили, что они могли бы добиться еще большей точности, улучшив свои алгоритмы и, что очень важно, «получив больше данных, которые являются более надежными».

Проблема для криминалистов-моделистов заключается в том, что они работают с очень несбалансированными, или перекошенными, данными. Исследователи Колумбийского университета смогли использовать 400 миллионов транзакций Биткойн и почти 40 миллионов адресов Биткойн, но только 143 из них были подтвержденными адресами вымогателей. Другими словами, немошеннические транзакции значительно превышали мошеннические. При таком перекосе данных модель либо отметит большое количество ложных срабатываний, либо пропустит мошеннические данные в незначительном процентном соотношении.

Бида из Coinfirm привел пример этой проблемы в интервью в прошлом году:

«Допустим, вы хотите построить модель, которая будет вычленять фотографии собак из множества фотографий кошек, но у вас есть обучающий набор данных с 1 000 фотографий кошек и только одной фотографией собаки. Модель машинного обучения «научится считать все фотографии кошачьими, поскольку погрешность составляет [всего] 0,001».

Если сказать иначе, то алгоритм «просто будет все время угадывать «кошка», что, конечно, сделает модель бесполезной, даже несмотря на ее высокую общую точность».

Далала спросили, поможет ли это новое американское законодательство расширить публичную базу данных «мошеннических» адресов биткоина и криптовалют, необходимую для более эффективного анализа сетей вымогательского ПО с помощью блокчейна. 

«В этом нет никаких сомнени
й», — сказал Далал в интервью Cointelegraph. «Конечно, больше данных — это всегда хорошо для любого анализа». Но еще важнее то, что по закону платежи за выкупное ПО теперь будут раскрываться в течение 24 часов, что позволяет «повысить шансы на восстановление, а также выявить серверы и методы атаки, чтобы другие потенциальные жертвы могли предпринять защитные меры», добавил он. Это связано с тем, что большинство злоумышленников используют то же вредоносное ПО для атак на других жертв. 

Недоиспользуемый инструмент судебной экспертизы

Обычно не известно, что правоохранительные органы получают выгоду, когда преступники используют криптовалюты для финансирования своей деятельности. «С помощью анализа блокчейна можно раскрыть всю цепочку их операций», — говорит Кимберли Грауэр, директор по исследованиям компании Chainalysis. «Вы можете увидеть, где они покупают свой пуленепробиваемый хостинг, где они покупают свое вредоносное ПО, где находится их филиал в Канаде» и так далее. «Вы можете получить много сведений об этих группах» с помощью анализа блокчейна, добавила она на недавнем круглом столе Chainalysis Media Roundtable в Нью-Йорке. 

Но поможет ли этот закон, на реализацию которого уйдут месяцы, на самом деле? «Это положительный момент, он поможет», — ответил Салман Банаи, соруководитель отдела государственной политики Chainalysis, на том же мероприятии. «Мы выступали за это, но это не значит, что мы летали вслепую до этого». Сделает ли это их усилия по проведению экспертизы значительно более эффективными? «Я не знаю, сделает ли это нас намного эффективнее, но мы ожидаем некоторого улучшения в плане охвата данных».

До введения закона в действие еще предстоит проработать детали в процессе принятия правил, но один очевидный вопрос уже возник: Какие компании должны будут соблюдать требования закона? «Важно помнить, что законопроект распространяется только на «организации, которые владеют или управляют критически важной инфраструктурой», — сказал Лиска в интервью Cointelegraph. Хотя в это число могут входить десятки тысяч организаций из 16 секторов, «это требование все равно относится лишь к небольшой части организаций в США».

Но, возможно, это не так. По словам Бипула Синха, генерального директора и соучредителя компании Rubrik, специализирующейся на защите данных, в число инфраструктурных секторов, упомянутых в законе, входят финансовые услуги, ИТ, энергетика, здравоохранение, транспорт, производство и коммерческие объекты. «Другими словами, практически все», — написал он недавно в статье в Fortune.

Другой вопрос: Нужно ли сообщать о каждой атаке, даже о тех, которые считаются относительно тривиальными? Агентство по кибербезопасности и инфраструктурной безопасности, куда компании будут подавать отчеты, недавно прокомментировало, что даже небольшие действия могут быть признаны подлежащими отчетности. «Из-за нависшего риска российских кибератак […] любой инцидент может дать важные хлебные крошки, ведущие к искушенному злоумышленнику», — сообщила газета New York Times. 

Правильно ли считать, что война делает необходимость принятия превентивных мер более насущной? Президент Джо Байден, среди прочих, повысил вероятность ответных кибератак со стороны российского правительства, в конце концов. Но Лиска не считает, что эти опасения оправдались — по крайней мере, пока:

«Ответные атаки с использованием программ-выкупов после вторжения России в Украину, похоже, не материализовались. Как и во время войны, Россия плохо координировала свои действия, поэтому все группы, которые могли быть мобилизованы, не были мобилизованы».

Тем не менее, по данным Chainalysis, в 2021 году почти три четверти всех денег, полученных в результате атак на программы-выкупы, достались хакерам, связанным с Россией, поэтому нельзя исключать активизации их деятельности. 

Не самостоятельное решение

Алгоритмы машинного обучения, позволяющие идентифицировать и отслеживать исполнителей вымогательских программ, ищущих оплату через блокчейн — а почти все вымогательские программы поддерживают блокчейн — несомненно, будут совершенствоваться, говорит Биеда. Но решения машинного обучения — это лишь «один из факторов, поддерживающих анализ блокчейна, а не самостоятельное решение». По-прежнему существует острая необходимость «в широком сотрудничестве в отрасли между правоохранительными органами, компаниями, занимающимися расследованиями в блокчейне, поставщиками услуг виртуальных активов и, конечно же, жертвами мошенничества в блокчейне».

Далал добавил, что остается мног
о технических проблем, в основном являющихся результатом уникальной природы псевдо-анонимности, пояснив Cointelegraph:

«Большинство публичных блокчейнов не имеют разрешений, и пользователи могут создавать столько адресов, сколько захотят. Транзакции становятся еще сложнее, поскольку существуют тумблеры и другие сервисы смешивания, способные смешивать испорченные деньги со многими другими. Это повышает комбинаторную сложность выявления преступников, скрывающихся за множеством адресов».

Еще прогресс?

Тем не менее, похоже, что дело движется в правильном направлении. «Я думаю, что мы как отрасль добились значительного прогресса», — добавила Лиска, — «и мы сделали это относительно быстро». Ряд компаний ведут очень инновационную работу в этой области, «а Министерство финансов и другие правительственные учреждения также начинают видеть ценность анализа блокчейна».

С другой стороны, хотя анализ блокчейна явно делает успехи, «сейчас на выкупах и краже криптовалюты делается так много денег, что даже влияние этой работы меркнет по сравнению с общей проблемой», — добавила Лиска.

Хотя Биеда видит прогресс, заставить компании сообщать о мошенничестве с использованием блокчейна все еще будет непросто, особенно за пределами США. «За последние два года более 11 000 жертв мошенничества в блокчейне обратились в компанию Coinfirm через наш сайт Reclaim Crypto», — сказал он. «Один из вопросов, который мы задаем, звучит так: «Сообщили ли вы о краже в правоохранительные органы?» — и многие жертвы этого не сделали».

Далал сказал, что правительственный мандат — это важный шаг в правильном направлении. «Это, безусловно, изменит правила игры, — сказал он в интервью Cointelegraph, — поскольку злоумышленники не смогут повторять использование своих излюбленных приемов, «и им придется действовать гораздо быстрее, чтобы атаковать множество целей». Это также уменьшит стигму, связанную с атаками, и потенциальные жертвы смогут лучше защитить себя».