2020 a été une année record pour les paiements de ransomware (692 millions de dollars), et 2021 sera probablement plus élevé lorsque toutes les données seront disponibles, a récemment déclaré Chainalysis. rapporté. De plus, avec le déclenchement de la guerre entre l’Ukraine et la Russie, l’utilisation des ransomwares comme outil géopolitique – et non seulement comme moyen de s’emparer de l’argent – devrait également se développer.
Mais une nouvelle loi américaine pourrait endiguer cette vague montante d’extorsion. Le président américain Joe Biden a récemment signé a promulgué le Strengthening American Cybersecurity Act, ou projet de loi Peters, obligeant les entreprises d'infrastructure à signaler au gouvernement les cyberattaques importantes dans les 72 heures et dans les 24 heures si elles effectuent un paiement par ransomware.
Pourquoi est-ce important? L'analyse de la blockchain s'est révélée de plus en plus efficace pour perturber les réseaux de ransomwares, comme le montre l'affaire Colonial Pipeline l'année dernière, où le ministère de la Justice a pu récupérer 2.3 millions de dollars du total versé par une société pipelinière à un réseau de ransomwares.
Mais pour maintenir cette tendance positive, davantage de données sont nécessaires et doivent être fournies plus rapidement, en particulier les adresses cryptographiques des malfaiteurs, comme presque toutes les attaques de ransomwares. impliquer crypto-monnaies basées sur la blockchain, généralement Bitcoin (BTC).
C’est là que la nouvelle loi devrait être utile car, jusqu’à présent, les victimes de ransomwares signalaient rarement l’extorsion aux autorités gouvernementales ou autres.
"Cela sera très utile", a déclaré à Cointelegraph Roman Bieda, responsable des enquêtes sur les fraudes chez Coinfirm. « La possibilité de « signaler » immédiatement des pièces, des adresses ou des transactions spécifiques comme « à risque » […] permet à tous les utilisateurs de repérer le risque avant même toute tentative de blanchiment. »
"Cela facilitera certainement l'analyse des chercheurs légistes de la blockchain", a déclaré à Cointelegraph Allan Liska, analyste principal du renseignement chez Recorded Future. « Bien que les groupes de ransomware changent souvent de portefeuille à chaque attaque de ransomware, cet argent finit par revenir dans un seul portefeuille. Les chercheurs en blockchain sont devenus très doués pour relier ces points. Ils ont réussi à y parvenir malgré les mélanges et autres tactiques utilisées par les réseaux de ransomwares et leurs blanchisseurs d’argent confédérés, a-t-il ajouté.
Siddhartha Dalal, professeur de pratique professionnelle à l'Université de Columbia, est du même avis. L'année dernière, Dalal a co-écrit un article titré «Identifying Ransomware Actors In The Bitcoin Network» qui décrit comment lui et ses collègues chercheurs ont pu utiliser des algorithmes d'apprentissage automatique graphique et l'analyse de la blockchain pour identifier les attaquants de ransomware avec «une précision de prédiction de 85% sur l'ensemble de données de test».
Bien que leurs résultats soient encourageants, les auteurs ont déclaré qu’ils pourraient obtenir une précision encore meilleure en améliorant davantage leurs algorithmes et, surtout, « en obtenant davantage de données plus fiables ».
Le défi pour les modélisateurs médico-légaux est qu’ils travaillent avec des données très déséquilibrées ou biaisées. Les chercheurs de l’Université de Columbia ont pu exploiter 400 millions de transactions Bitcoin et près de 40 millions d’adresses Bitcoin, mais seulement 143 d’entre elles étaient des adresses de ransomware confirmées. En d’autres termes, les transactions non frauduleuses dépassaient de loin les transactions frauduleuses. Avec des données aussi asymétriques, le modèle marquera un grand nombre de faux positifs ou omettra les données frauduleuses comme un pourcentage mineur.
Bieda de Coinfirm a fourni un exemple de ce problème dans une interview l'année dernière :
« Disons que vous souhaitez créer un modèle qui extraira des photos de chiens à partir d'une multitude de photos de chats, mais que vous disposez d'un ensemble de données d'entraînement avec 1,000 0.001 photos de chats et une seule photo de chien. Un modèle d'apprentissage automatique « apprendrait qu'il est acceptable de traiter toutes les photos comme des photos de chats, car la marge d'erreur est [seulement] de XNUMX. »
En d’autres termes, l’algorithme « devinerait simplement « chat » tout le temps, ce qui rendrait le modèle inutile, bien sûr, même s’il obtenait un score élevé en termes de précision globale. »
On a demandé à Dalal si cette nouvelle législation américaine contribuerait à élargir l’ensemble de données publiques d’adresses Bitcoin et crypto « frauduleuses » nécessaires à une analyse blockchain plus efficace des réseaux de ransomwares.
"Cela ne fait aucun doute", a déclaré Dalal à Cointelegraph. "Bien sûr, davantage de données sont toujours utiles pour toute analyse." Mais plus important encore, selon la loi, les paiements de ransomware seront désormais révélés dans un délai de 24 heures, ce qui permet « de meilleures chances de récupération et également des possibilités d'identification des serveurs et des méthodes d'attaque afin que d'autres victimes potentielles puissent prendre des mesures défensives pour se protéger ». protégez-les », a-t-il ajouté. En effet, la plupart des auteurs utilisent le même logiciel malveillant pour attaquer d'autres victimes.
Un outil médico-légal sous-utilisé
On ignore généralement que les forces de l’ordre profitent du fait que les criminels utilisent des crypto-monnaies pour financer leurs activités. "Vous pouvez utiliser l'analyse de la blockchain pour découvrir l'ensemble de leur chaîne d'approvisionnement", a déclaré Kimberly Grauer, directrice de recherche chez Chainalysis. « Vous pouvez voir où ils achètent leur hébergement à toute épreuve, où ils achètent leurs logiciels malveillants, leur filiale basée au Canada », et ainsi de suite. « Vous pouvez obtenir de nombreuses informations grâce à ces groupes » grâce à l'analyse de la blockchain, a-t-elle ajouté lors d'une récente table ronde médiatique Chainalysis à New York.
Mais cette loi, dont la mise en œuvre prendra encore des mois, sera-t-elle vraiment utile ? "C'est positif, cela aiderait", a répondu Salman Banaei, co-responsable des politiques publiques chez Chainalysis, lors du même événement. "Nous l'avons défendu, mais ce n'est pas comme si nous volions à l'aveugle auparavant." Cela rendrait-il leurs efforts médico-légaux beaucoup plus efficaces ? "Je ne sais pas si cela nous rendrait beaucoup plus efficaces, mais nous nous attendons à une certaine amélioration en termes de couverture des données."
Il reste encore des détails à régler dans le processus d'élaboration des règles avant que la loi ne soit mise en œuvre, mais une question évidente a déjà été soulevée : quelles entreprises devront s'y conformer ? "Il est important de se rappeler que le projet de loi s'applique uniquement aux" entités qui possèdent ou exploitent des infrastructures critiques "", a déclaré Liska à Cointelegraph. Même si cela pourrait inclure des dizaines de milliers d’organisations dans 16 secteurs, « cette exigence ne s’applique encore qu’à une petite fraction des organisations aux États-Unis ».
Mais peut-être pas. Selon à Bipul Sinha, PDG et co-fondateur de Rubrik, une société de sécurité des données, les secteurs d'infrastructure cités dans la loi comprendre services financiers, informatique, énergie, soins de santé, transports, installations manufacturières et commerciales. « En d’autres termes, à peu près tout le monde », écrit-il dans un magazine Fortune. article récemment.
Autre question : faut-il signaler toutes les attaques, même celles jugées relativement insignifiantes ? L'Agence de cybersécurité et de sécurité des infrastructures, à laquelle les entreprises feront rapport, a récemment déclaré que même de petits actes pourraient être considérés comme devant être signalés. « En raison du risque imminent de cyberattaques russes […] tout incident pourrait fournir des miettes de pain importantes menant à un attaquant sophistiqué », écrit le New York Times. rapporté.
Est-il juste de supposer que la guerre rend plus urgente la nécessité de prendre des mesures préventives ? Le président Joe Biden, entre autres, a évoqué la probabilité de cyber-attaques en représailles de la part du gouvernement russe. Mais Liska ne pense pas que cette préoccupation ait été résolue – du moins pas encore :
« Les attaques de ransomware en représailles après l’invasion russe de l’Ukraine ne semblent pas s’être concrétisées. Comme pendant une grande partie de la guerre, la coordination de la part de la Russie a été médiocre, de sorte que les groupes de ransomwares qui auraient pu être mobilisés ne l’ont pas été.
Pourtant, près des trois quarts de tout l’argent généré par les attaques de ransomwares sont allés à des pirates informatiques liés à la Russie en 2021, selon à Chainalysis, donc une augmentation de l'activité à partir de là ne peut être exclue.
Pas une solution autonome
Les algorithmes d'apprentissage automatique qui identifient et suivent les auteurs de ransomwares recherchant un paiement par blockchain – et presque tous les ransomwares sont compatibles avec la blockchain – vont sans aucun doute s'améliorer désormais, a déclaré Bieda. Mais les solutions d’apprentissage automatique ne sont que « l’un des facteurs soutenant l’analyse de la blockchain et non une solution autonome ». Il existe toujours un besoin crucial « d’une large coopération dans le secteur entre les forces de l’ordre, les sociétés d’enquête sur la blockchain, les fournisseurs de services d’actifs virtuels et, bien sûr, les victimes de fraude dans la blockchain ».
Dalal a ajouté que de nombreux défis techniques subsistent, principalement dus à la nature unique du pseudo-anonymat, expliquant à Cointelegraph :
« La plupart des blockchains publiques sont sans autorisation et les utilisateurs peuvent créer autant d'adresses qu'ils le souhaitent. Les transactions deviennent encore plus complexes puisqu’il existe des tumblers et autres services de mixage capables de mélanger de l’argent contaminé avec bien d’autres. Cela augmente la complexité combinatoire de l’identification des auteurs se cachant derrière plusieurs adresses.
Encore des progrès ?
Néanmoins, les choses semblent évoluer dans la bonne direction. "Je pense que nous faisons des progrès significatifs en tant qu'industrie", a ajouté Liska, "et nous l'avons fait relativement rapidement". Un certain nombre d'entreprises ont réalisé un travail très innovant dans ce domaine, "et le ministère du Trésor et d'autres agences gouvernementales commencent également à voir la valeur de l'analyse de la blockchain".
D’un autre côté, même si l’analyse de la blockchain fait clairement des progrès, « il y a actuellement tellement d’argent généré par le vol de ransomwares et de cryptomonnaies que même l’impact de ce travail est dérisoire par rapport au problème global », a ajouté Liska.
Bien que Bieda constate des progrès, il sera toujours difficile d’amener les entreprises à signaler les fraudes liées à la blockchain, en particulier en dehors des États-Unis. "Au cours des deux dernières années, plus de 11,000 XNUMX victimes de fraude dans la blockchain ont atteint Coinfirm via notre site Web Reclaim Crypto", a-t-il déclaré. « L'une des questions que nous posons est : « Avez-vous signalé le vol aux forces de l'ordre ? – et de nombreuses victimes ne l’ont pas fait.
Dalal a déclaré que le mandat du gouvernement constitue un pas important dans la bonne direction. "Cela va sûrement changer la donne", a-t-il déclaré à Cointelegraph, car les attaquants ne pourront pas répéter l'utilisation de leurs techniques préférées, "et ils devront se déplacer beaucoup plus rapidement pour attaquer plusieurs cibles." Cela réduira également la stigmatisation liée aux attaques et les victimes potentielles seront en mesure de mieux se protéger.
Source : https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analysis