Chainalysis最近報(bào)道稱，2020年是勒索軟件支付創(chuàng)紀(jì)錄的一年(6.92億美元)，當(dāng)所有數(shù)據(jù)都出來后，2021年可能會(huì)更高。此外，隨著烏克蘭-俄羅斯戰(zhàn)爭的爆發(fā)，預(yù)計(jì)勒索軟件被用作地緣政治工具——而不僅僅是為了撈錢——的情況也會(huì)增多。

但是，一項(xiàng)新的美國法律可能會(huì)阻止這種不斷上升的勒索浪潮。美國總統(tǒng)喬·拜登最近簽署了《加強(qiáng)美國網(wǎng)絡(luò)安全法案》，或稱彼得斯法案，要求基礎(chǔ)設(shè)施公司在72小時(shí)內(nèi)向政府報(bào)告重大網(wǎng)絡(luò)攻擊，如果他們支付了勒索軟件，則必須在24小時(shí)內(nèi)報(bào)告。

為什么這很重要?事實(shí)證明，區(qū)塊鏈分析在破壞勒索軟件網(wǎng)絡(luò)方面越來越有效，正如去年Colonial Pipeline案件所顯示的那樣，美國司法部(Department of Justice)能夠從一家管道公司支付給一個(gè)勒索軟件團(tuán)伙的總金額中收回230萬美元。

但是，為了保持這一積極的趨勢，需要更多的數(shù)據(jù)，必須以更及時(shí)的方式提供，特別是黑客的加密地址，因?yàn)閹缀跛械睦账鬈浖舳忌婕盎趨^(qū)塊鏈的加密貨幣，通常是比特幣(BTC)。

這正是新法律應(yīng)該發(fā)揮作用的地方，因?yàn)榈侥壳盀橹梗账鬈浖氖芎φ吆苌傧蛘?dāng)局或其他人報(bào)告勒索行為。

“這將非常有幫助，”Coinfirm欺詐調(diào)查主管羅曼·比達(dá)(Roman Bieda)告訴Cointelegraph。“能夠立即‘標(biāo)記’特定的硬幣、地址或交易為‘有風(fēng)險(xiǎn)的’……]使所有用戶甚至在任何洗錢企圖之前就能發(fā)現(xiàn)風(fēng)險(xiǎn)。”

Recorded Future的高級(jí)情報(bào)分析師艾倫?利斯卡告訴Cointelegraph:“這絕對會(huì)有助于區(qū)塊鏈法醫(yī)研究人員的分析。”雖然每次受到勒索軟件攻擊時(shí)，勒索軟件組織通常會(huì)更換錢包，但這些錢最終會(huì)流回一個(gè)錢包。區(qū)塊鏈的研究人員非常擅長將這些點(diǎn)聯(lián)系起來。他補(bǔ)充說，盡管勒索軟件團(tuán)伙和他們的洗錢同伙使用了混合和其他手段，但他們?nèi)匀荒軌蜃龅竭@一點(diǎn)。

哥倫比亞大學(xué)(Columbia University)專業(yè)實(shí)踐教授悉達(dá)多?達(dá)拉爾(Siddhartha Dalal)對此表示贊同。去年，Dalal與人合著了一篇題為《識(shí)別比特幣網(wǎng)絡(luò)中的勒索軟件參與者》的論文，描述了他和他的同事如何能夠使用圖機(jī)學(xué)習(xí)算法和區(qū)塊鏈分析來識(shí)別勒索軟件攻擊者，“測試數(shù)據(jù)集的預(yù)測準(zhǔn)確率達(dá)到85%”。

雖然他們的結(jié)果令人鼓舞，但作者表示，通過進(jìn)一步改進(jìn)算法，他們可以獲得更好的準(zhǔn)確性，關(guān)鍵是，“獲得更多更可靠的數(shù)據(jù)。”

這里取證建模者面臨的挑戰(zhàn)是，他們正在處理高度不平衡或傾斜的數(shù)據(jù)。哥倫比亞大學(xué)的研究人員利用4億次比特幣交易和近4000萬個(gè)比特幣地址，但其中只有143個(gè)被確認(rèn)為勒索軟件地址。換句話說，非欺詐交易遠(yuǎn)遠(yuǎn)超過欺詐交易。有了如此扭曲的數(shù)據(jù)，該模型要么會(huì)標(biāo)記出大量的誤報(bào)，要么會(huì)忽略欺詐性數(shù)據(jù)的一小部分。

Coinfirm的比達(dá)在去年的一次采訪中給出了這個(gè)問題的例子:

“假設(shè)你想構(gòu)建一個(gè)模型，從貓的照片中提取出狗的照片，但你有一個(gè)訓(xùn)練數(shù)據(jù)集，里面有1000張貓的照片，只有一張狗的照片。機(jī)器學(xué)習(xí)模型‘就會(huì)發(fā)現(xiàn)可以把所有照片都當(dāng)作貓的照片，因?yàn)檎`差范圍只有0.001。’”

換句話說，該算法會(huì)“一直猜測‘貓’，這將使模型毫無用處，當(dāng)然，即使它的總體準(zhǔn)確度很高。”

Dalal被問及這項(xiàng)美國新立法是否有助于擴(kuò)大“欺詐性”比特幣和加密地址的公開數(shù)據(jù)集，從而對勒索軟件網(wǎng)絡(luò)進(jìn)行更有效的區(qū)塊鏈分析。

“這是毫無疑問的，”達(dá)拉爾告訴Cointelegraph。“當(dāng)然，對任何分析來說，更多的數(shù)據(jù)總是好的。”但更重要的是，根據(jù)法律，勒索軟件付款將在24小時(shí)內(nèi)披露，這使得“更有可能恢復(fù)，也有可能識(shí)別服務(wù)器和攻擊方法，以便其他潛在受害者可以采取防御措施保護(hù)他們，”他補(bǔ)充說。這是因?yàn)榇蠖鄶?shù)罪犯使用相同的惡意軟件攻擊其他受害者。

一個(gè)未被充分利用的取證工具

人們通常不知道，當(dāng)犯罪分子使用加密貨幣為其活動(dòng)提供資金時(shí)，執(zhí)法部門會(huì)受益。Chainalysis研究主管金伯利?格勞爾(Kimberly Grauer)表示:“你可以使用區(qū)塊鏈分析來揭示他們的整個(gè)供應(yīng)鏈運(yùn)作。”“你可以看到他們在哪里購買防彈主機(jī)，他們在哪里購買惡意軟件，他們在加拿大的聯(lián)盟”等等。她在最近于紐約市舉行的Chainalysis媒體圓桌會(huì)議上補(bǔ)充說，通過區(qū)塊鏈分析，“你可以獲得對這些群體的很多見解”。

但是，這項(xiàng)仍需數(shù)月時(shí)間才能實(shí)施的法律真的有用嗎?Chainalysis公共政策聯(lián)合主管薩勒曼·巴納伊(Salman Banaei)在同一場活動(dòng)上回答說:“這是積極的，會(huì)有所幫助。”“我們提倡這樣做，但這并不是我們以前盲目行事。”這會(huì)讓他們的取證工作更加有效嗎?“我不知道這是否會(huì)讓我們更有效率，但我們預(yù)計(jì)在數(shù)據(jù)覆蓋方面會(huì)有一些改善。”

在法律實(shí)施之前，規(guī)則制定過程中仍有一些細(xì)節(jié)需要制定，但一個(gè)明顯的問題已經(jīng)提出:哪些公司需要遵守規(guī)則?“重要的是要記住，該法案只適用于‘擁有或運(yùn)營關(guān)鍵基礎(chǔ)設(shè)施的實(shí)體’，”里斯卡告訴Cointelegraph。雖然這可能包括16個(gè)行業(yè)的數(shù)萬家機(jī)構(gòu)，但“這一要求仍然只適用于美國的一小部分機(jī)構(gòu)。”

但是,也許不是。數(shù)據(jù)安全公司Rubrik的首席執(zhí)行官兼聯(lián)合創(chuàng)始人畢普爾?辛哈(Bipul Sinha)表示，法律中提到的基礎(chǔ)設(shè)施行業(yè)包括金融服務(wù)、IT、能源、醫(yī)療保健、交通、制造和商業(yè)設(shè)施。“換句話說，幾乎所有人，”他最近在《財(cái)富》雜志(Fortune)的一篇文章中寫道。

另一個(gè)問題是:每次攻擊都必須報(bào)告嗎，即使是那些被認(rèn)為相對微不足道的攻擊?這些公司將提交報(bào)告的美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency)最近評論稱，即使是很小的行為也可能被認(rèn)為需要報(bào)告。“由于俄羅斯網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)迫在眉睫……任何事件都可能提供重要線索，讓我們找到一個(gè)老練的襲擊者。”

有人認(rèn)為，這場戰(zhàn)爭使采取預(yù)防行動(dòng)的必要性變得更加緊迫，這種看法正確嗎?畢竟，美國總統(tǒng)喬?拜登(Joe Biden)等人提高了俄羅斯政府進(jìn)行報(bào)復(fù)性網(wǎng)絡(luò)攻擊的可能性。但是，Liska并不認(rèn)為這種擔(dān)憂已經(jīng)得到了證實(shí)——至少目前還沒有:

俄羅斯入侵烏克蘭后的報(bào)復(fù)性勒索軟件攻擊似乎并沒有成為現(xiàn)實(shí)。就像大多數(shù)戰(zhàn)爭一樣，俄羅斯方面協(xié)調(diào)不力，所以任何可能被動(dòng)員的勒索軟件組織都沒有被動(dòng)員。

盡管如此，根據(jù)Chainalysis的數(shù)據(jù)，在2021年通過勒索軟件攻擊獲得的所有收入中，有近四分之三流向了與俄羅斯有關(guān)的黑客，因此不能排除從那里開始的勒索活動(dòng)增加的可能性。

不是一個(gè)獨(dú)立的解決方案

比達(dá)表示，識(shí)別和跟蹤尋求區(qū)塊鏈支付的勒索軟件參與者的機(jī)器學(xué)習(xí)算法——幾乎所有的勒索軟件都啟用了區(qū)塊鏈功能——現(xiàn)在無疑將得到改進(jìn)。但是，機(jī)器學(xué)習(xí)解決方案只是“支持區(qū)塊鏈分析的因素之一，而不是一個(gè)獨(dú)立的解決方案。”目前仍然迫切需要“執(zhí)法部門、區(qū)塊鏈調(diào)查公司、虛擬資產(chǎn)服務(wù)提供商以及區(qū)塊鏈欺詐受害者之間的廣泛合作。”

Dalal補(bǔ)充道，仍然存在許多技術(shù)挑戰(zhàn)，主要是偽匿名特性的結(jié)果，他向Cointelegraph解釋道:

“大多數(shù)公共區(qū)塊鏈?zhǔn)遣皇茉S可的，用戶可以創(chuàng)建任意多的地址。交易變得更加復(fù)雜，因?yàn)橛辛宿D(zhuǎn)盤和其他混合服務(wù)，可以將被污染的貨幣與其他貨幣混合。這增加了識(shí)別隱藏在多個(gè)地址后面的罪犯的組合復(fù)雜性。”

更多的進(jìn)展嗎?

盡管如此，事情似乎正朝著正確的方向發(fā)展。Liska補(bǔ)充道:“我認(rèn)為，作為一個(gè)行業(yè)，我們正在取得重大進(jìn)展，而且進(jìn)展相對較快。”許多公司已經(jīng)在這一領(lǐng)域進(jìn)行了非常創(chuàng)新的工作，“財(cái)政部和其他政府機(jī)構(gòu)也開始看到區(qū)塊鏈分析的價(jià)值。”

另一方面，雖然區(qū)塊鏈的分析取得了明顯的進(jìn)展，但Liska補(bǔ)充說:“目前從勒索軟件和加密貨幣盜竊中賺了這么多錢，即使是這項(xiàng)工作的影響，與整體問題相比也相形見絀。”

盡管比達(dá)看到了進(jìn)展，但讓公司舉報(bào)區(qū)塊鏈欺詐仍然是一個(gè)挑戰(zhàn)，尤其是在美國以外的地區(qū)。他說:“在過去的兩年里，超過1.1萬名區(qū)塊鏈詐騙受害者通過我們的Reclaim Crypto網(wǎng)站聯(lián)系到了Coinfirm。”“我們問的一個(gè)問題是，‘你向執(zhí)法部門報(bào)告了這起盜竊案嗎?’——許多受害者都沒有。”

達(dá)拉爾表示，政府授權(quán)是朝著正確方向邁出的重要一步。“這肯定會(huì)改變游戲規(guī)則，”他告訴Cointelegraph，因?yàn)楣粽邔o法重復(fù)使用他們喜歡的技術(shù)，“他們將不得不更快地移動(dòng)來攻擊多個(gè)目標(biāo)。”這也將減少與襲擊有關(guān)的恥辱，潛在的受害者將能夠更好地保護(hù)自己。