2020 foi um ano recorde para pagamentos de ransomware (US$ 692 milhões), e 2021 provavelmente será maior quando todos os dados estiverem disponíveis, Chainalysis recentemente relatado. Além disso, com a eclosão da guerra Ucrânia-Rússia, espera-se que o uso do ransomware como uma ferramenta geopolítica – não apenas um roubo de dinheiro – também cresça.
Mas, uma nova lei dos EUA pode conter essa crescente onda de extorsão. O presidente dos Estados Unidos, Joe Biden, recentemente assinado em lei a Lei de Fortalecimento Americano de Cibersegurança, ou o projeto de lei de Peters, exigindo que as empresas de infraestrutura relatem ao governo ataques cibernéticos substanciais dentro de 72 horas e dentro de 24 horas se fizerem um pagamento de ransomware.
Por que isso é importante? A análise de Blockchain provou ser cada vez mais eficaz na interrupção de redes de ransomware, como visto no caso Colonial Pipeline no ano passado, onde o Departamento de Justiça conseguiu recuperar US$ 2,3 milhões do total que uma empresa de pipeline pagou a um anel de ransomware.
Mas, para manter essa tendência positiva, mais dados são necessários e devem ser fornecidos de maneira mais oportuna, principalmente os endereços criptográficos dos malfeitores, pois quase todos os ataques de ransomware envolver criptomoedas baseadas em blockchain, geralmente Bitcoin (BTC).
É aqui que a nova lei deve ajudar porque, até agora, as vítimas de ransomware raramente denunciam a extorsão às autoridades governamentais ou outras.
“Será muito útil”, disse Roman Bieda, chefe de investigações de fraude da Coinfirm, ao Cointelegraph. “A capacidade de ‘sinalizar’ imediatamente moedas, endereços ou transações específicas como ‘arriscadas’ […] permite que todos os usuários identifiquem o risco antes mesmo de qualquer tentativa de lavagem.”
“Isso absolutamente ajudará na análise de pesquisadores forenses de blockchain”, disse Allan Liska, analista sênior de inteligência da Recorded Future, ao Cointelegraph. “Embora os grupos de ransomware geralmente troquem carteiras para cada ataque de ransomware, esse dinheiro acaba voltando para uma única carteira. Os pesquisadores do Blockchain ficaram muito bons em conectar esses pontos.” Eles conseguiram fazer isso apesar da mistura e de outras táticas usadas por anéis de ransomware e seus lavadores de dinheiro confederados, acrescentou.
Siddhartha Dalal, professor de prática profissional da Universidade de Columbia, concordou. No ano passado, Dalal foi coautor de um artigo intitulado “Identificando atores de ransomware na rede Bitcoin” que descrevia como ele e seus colegas pesquisadores conseguiram usar algoritmos de aprendizado de máquina de gráficos e análise de blockchain para identificar invasores de ransomware com “precisão de previsão de 85% no conjunto de dados de teste”.
Embora seus resultados tenham sido encorajadores, os autores afirmaram que poderiam alcançar uma precisão ainda melhor melhorando ainda mais seus algoritmos e, criticamente, “obtendo mais dados que são mais confiáveis”.
O desafio para os modeladores forenses aqui é que eles estão trabalhando com dados altamente desequilibrados ou distorcidos. Os pesquisadores da Universidade de Columbia conseguiram extrair 400 milhões de transações de Bitcoin e cerca de 40 milhões de endereços de Bitcoin, mas apenas 143 deles foram endereços de ransomware confirmados. Em outras palavras, as transações não fraudulentas superaram em muito as transações fraudulentas. Com dados tão distorcidos como esse, o modelo marcará muitos falsos positivos ou omitirá os dados fraudulentos como uma porcentagem menor.
Bieda, da Coinfirm, forneceu um exemplo desse problema em uma entrevista no ano passado:
“Digamos que você queira construir um modelo que retire fotos de cachorros de um monte de fotos de gatos, mas você tem um conjunto de dados de treinamento com 1.000 fotos de gatos e apenas uma foto de cachorro. Um modelo de aprendizado de máquina ‘aprenderia que não há problema em tratar todas as fotos como fotos de gatos, pois a margem de erro é [only] 0,001.’”
Colocado de outra forma, o algoritmo “apenas adivinharia ‘gato’ o tempo todo, o que tornaria o modelo inútil, é claro, mesmo com uma pontuação alta em precisão geral”.
Dalal foi perguntado se essa nova legislação dos EUA ajudaria a expandir o conjunto de dados públicos de endereços de Bitcoin e criptomoedas “fraudulentos” necessários para uma análise mais eficaz de blockchain de redes de ransomware.
“Não há dúvida sobre isso”, disse Dalal ao Cointelegraph. “É claro que mais dados são sempre bons para qualquer análise.” Mas ainda mais importante, por lei, os pagamentos de ransomware agora serão revelados em um período de 24 horas, o que permite “uma melhor chance de recuperação e também possibilidades de identificar servidores e métodos de ataque para que outras vítimas em potencial possam tomar medidas defensivas para protegê-los”, acrescentou. Isso porque a maioria dos criminosos usa esse mesmo malware para atacar outras vítimas.
Uma ferramenta forense subutilizada
Geralmente não se sabe que a aplicação da lei se beneficia quando os criminosos usam criptomoedas para financiar suas atividades. “Você pode usar a análise de blockchain para descobrir toda a cadeia de suprimentos de operação”, disse Kimberly Grauer, diretora de pesquisa da Chainalysis. “Você pode ver onde eles estão comprando sua hospedagem à prova de balas, onde eles compram seu malware, sua afiliada baseada no Canadá” e assim por diante. “Você pode obter muitas informações sobre esses grupos” por meio da análise de blockchain, acrescentou ela em uma recente mesa redonda de mídia da Chainalysis em Nova York.
Mas será que essa lei, que ainda levará meses para ser implementada, realmente ajudará? “É positivo, ajudaria”, respondeu Salman Banaei, codiretor de políticas públicas da Chainalysis, no mesmo evento. “Nós defendemos isso, mas não é como se estivéssemos voando às cegas antes.” Isso tornaria seus esforços forenses significativamente mais eficazes? “Não sei se isso nos tornaria muito mais eficazes, mas esperaríamos alguma melhora em termos de cobertura de dados.”
Ainda há detalhes a serem trabalhados no processo de regulamentação antes da implementação da lei, mas uma pergunta óbvia já foi levantada: quais empresas precisarão cumprir? “É importante lembrar que o projeto de lei se aplica apenas a ‘entidades que possuem ou operam infraestrutura crítica’”, disse Liska ao Cointelegraph. Embora isso possa incluir dezenas de milhares de organizações em 16 setores, “esse requisito ainda se aplica apenas a uma pequena fração de organizações nos Estados Unidos”.
Mas, talvez não. De acordo com para Bipul Sinha, CEO e cofundador da Rubrik, empresa de segurança de dados, os setores de infraestrutura citados na lei incluir serviços financeiros, TI, energia, saúde, transporte, fabricação e instalações comerciais. “Em outras palavras, quase todo mundo”, escreveu ele em uma revista da Fortune. artigo recentemente.
Outra pergunta: todo ataque deve ser relatado, mesmo aqueles considerados relativamente triviais? A Agência de Segurança Cibernética e de Infraestrutura, onde as empresas irão reportar, comentou recentemente que mesmo pequenos atos podem ser considerados reportáveis. “Por causa do risco iminente de ataques cibernéticos russos […] qualquer incidente pode fornecer migalhas de pão importantes, levando a um atacante sofisticado”, o New York Times relatado.
É correto supor que a guerra torna mais urgente a necessidade de ações preventivas? O presidente Joe Biden, entre outros, aumentou a probabilidade de ataques cibernéticos de retaliação do governo russo, afinal. Mas, Liska não acha que essa preocupação deu certo – ainda não, pelo menos:
“Os ataques retaliatórios de ransomware após a invasão russa da Ucrânia não parecem ter se materializado. Como em grande parte da guerra, houve má coordenação por parte da Rússia, então quaisquer grupos de ransomware que possam ter sido mobilizados não foram.”
Ainda assim, quase três quartos de todo o dinheiro ganho por meio de ataques de ransomware foi para hackers ligados à Rússia em 2021, de acordo com para Chainalysis, então um aumento na atividade a partir daí não pode ser descartado.
Não é uma solução autônoma
Algoritmos de aprendizado de máquina que identificam e rastreiam agentes de ransomware que buscam pagamento por blockchain – e quase todos os ransomware são habilitados para blockchain – sem dúvida melhorarão agora, disse Bieda. Mas as soluções de aprendizado de máquina são apenas “um dos fatores que suportam a análise de blockchain e não uma solução autônoma”. Ainda há uma necessidade crítica “de ampla cooperação no setor entre policiais, empresas de investigação de blockchain, provedores de serviços de ativos virtuais e, é claro, vítimas de fraude no blockchain”.
Dalal acrescentou que muitos desafios técnicos permanecem, principalmente o resultado da natureza única do pseudo-anonimato, explicando ao Cointelegraph:
“A maioria das blockchains públicas não tem permissão e os usuários podem criar quantos endereços quiserem. As transações tornam-se ainda mais complexas, pois existem copos e outros serviços de mistura que são capazes de misturar dinheiro contaminado com muitos outros. Isso aumenta a complexidade combinatória de identificar criminosos escondidos atrás de vários endereços.”
Mais progresso?
No entanto, as coisas parecem estar indo na direção certa. “Acho que estamos fazendo um progresso significativo como indústria”, acrescentou Liska, “e fizemos isso de forma relativamente rápida”. Várias empresas têm feito um trabalho muito inovador nessa área, “e o Departamento do Tesouro e outras agências governamentais também estão começando a ver o valor da análise de blockchain”.
Por outro lado, enquanto a análise de blockchain está claramente avançando, “há tanto dinheiro sendo ganho com roubo de ransomware e criptomoeda no momento que até mesmo o impacto que este trabalho está tendo empalidece em comparação com o problema geral”, acrescentou Liska.
Embora Bieda veja progresso, ainda será um desafio fazer com que as empresas denunciem fraudes em blockchain, especialmente fora dos Estados Unidos. “Nos últimos dois anos, mais de 11.000 vítimas de fraude em blockchain chegaram à Coinfirm através do nosso site Reclaim Crypto”, disse ele. “Uma das perguntas que fazemos é: ‘Você denunciou o roubo à polícia?’ – e muitas vítimas não.”
Dalal disse que o mandato do governo é um passo importante na direção certa. “Isso certamente será um divisor de águas”, disse ele ao Cointelegraph, pois os invasores não poderão repetir o uso de suas técnicas favoritas, “e terão que se mover muito mais rápido para atacar vários alvos. Também reduzirá o estigma associado aos ataques e as vítimas em potencial poderão se proteger melhor”.