Udsat:Stien til ransomware-betalinger

Det dunkle økosystem af ransomware-betalinger kommer i fokus i ny forskning ledet af Damon McCoy, en assisterende professor i datalogi og teknik ved NYU Tandon School of Engineering. Ransomware angreb, som krypterer og holder en computerbrugers filer som gidsler i bytte for betaling, afpresse millioner af dollars fra enkeltpersoner hver måned, og omfatter en af ​​de hurtigst voksende former for cyberangreb.

I et papir, der er planlagt til præsentation på IEEE Symposium on Security and Privacy i maj, McCoy og et hold inklusive forskere fra University of California, San Diego; Princeton University; Google; og blockchain-analysefirmaet Chainalysis giver den første detaljerede redegørelse for ransomware-betalingsøkosystemet, fra indledende angreb til udbetaling.

Nøgleresultater omfatter opdagelsen af, at sydkoreanere er uforholdsmæssigt påvirket af ransomware-kampagner, med analyse, der afslører, at 2,5 millioner dollars af de 16 millioner dollars i ransomware-betalinger, som forskerne sporede, blev betalt i Sydkorea. Avisens forfattere opfordrer til yderligere forskning for at fastslå årsagen til, at så mange sydkoreanere er ofre, og hvordan de kan beskyttes.

Holdet fandt også ud af, at de fleste ransomware-operatører brugte en russisk bitcoin-udveksling, BTC-E, at konvertere bitcoin til fiat-valutaer. (BTC-E er siden blevet beslaglagt af FBI.) Forskerne vurderer, at mindst 20, 000 personer har foretaget ransomware-betalinger i løbet af de sidste to år, til en bekræftet pris på $16 millioner, selvom den faktiske betalingssum sandsynligvis er langt højere.

McCoy og hans samarbejdspartnere udnyttede den offentlige karakter af bitcoin blockchain-teknologien til at spore løsesumsbetalinger over en toårig periode¬. Bitcoins er den mest almindelige valuta for ransomware-betalinger, og fordi de fleste ofre ikke ejer dem, det første bitcoin-køb giver et udgangspunkt for at spore betalinger. Hvert ransomware-offer får ofte en unik betalingsadresse, der leder til en bitcoin-pung, hvor løsesummen indsamles. Forskerholdet benyttede offentlige rapporter om ransomware-angreb for at identificere disse adresser og korrelere dem med blockchain-transaktioner.

For at øge antallet af transaktioner, der er tilgængelige for analyse, holdet udførte også ægte ransomware binære filer i et kontrolleret eksperimentelt miljø, i det væsentlige selv at blive ofre og foretage mikrobetalinger til rigtige løsepenge-punge for at følge bitcoin-sporet. "Ransomware-operatører dirigerer i sidste ende bitcoin til en central konto, som de udbetaler med jævne mellemrum, og ved at indsprøjte en lille smule af vores egne penge i det større flow kunne vi identificere disse centrale konti, se de andre betalinger strømme ind, og begynde at forstå antallet af ofre og mængden af ​​penge, der indsamles, " sagde McCoy.

Forskerholdet anerkendte, at etiske spørgsmål forhindrer udforskning af visse aspekter af ransomware-økosystemet, herunder bestemmelse af procentdelen af ​​ofre, der rent faktisk betaler for at gendanne deres filer. McCoy forklarede, at på trods af at have mulighed for at tjekke for aktivitet forbundet med en specifik betalingsadresse, at gøre det ville effektivt "starte uret" og potentielt få ofre til enten at betale en dobbelt løsesum eller helt miste muligheden for at gendanne deres filer.

Kriminel brug af kryptovalutaer er et af McCoys forskningsfokus. Han og andre forskere har tidligere sporet menneskesmuglere gennem deres brug af Bitcoin-reklamer.