Dữ liệu sai lệch: Luật mới của Hoa Kỳ có thể thúc đẩy phân tích chuỗi khối như thế nào?

Năm 2020 là một năm kỷ lục về thanh toán ransomware (692 triệu đô la) và năm 2021 có thể sẽ cao hơn khi tất cả dữ liệu được đưa vào, Chainalysis gần đâybáo cáo . Hơn nữa, với sự bùng nổ của chiến tranh Ukraine-Nga, việc sử dụng mã độc tống tiền như một công cụ địa chính trị — không chỉ để lấy tiền — dự kiến cũng sẽ tăng lên.

Tuy nhiên, một luật mới của Hoa Kỳ có thể ngăn chặn làn sóng tống tiền đang gia tăng này. Tổng thống Hoa Kỳ Joe Biden gần đâyđã ký thành luật Đạo luật tăng cường an ninh mạng của Mỹ, hoặc dự luật Peters, yêu cầu các công ty cơ sở hạ tầng báo cáo cho chính phủ các cuộc tấn công mạng đáng kể trong vòng 72 giờ và trong vòng 24 giờ nếu họ thực hiện thanh toán ransomware.

Sao nó lại quan trọng? Phân tích chuỗi khối đã được chứng minh là ngày càng hiệu quả trong việc phá vỡ các mạng ransomware, như đã thấy trong trường hợp Đường ống thuộc địa năm ngoái, nơi Bộ Tư pháp có thểhồi phục 2,3 triệu đô la trong tổng số tiền mà một công ty đường ống đã trả cho một vòng ransomware. 

Tuy nhiên, để duy trì xu hướng tích cực này, cần có nhiều dữ liệu hơn và dữ liệu phải được cung cấp kịp thời hơn, đặc biệt là các địa chỉ tiền điện tử của kẻ xấu, vì hầu như tất cả các cuộc tấn công ransomwareliên quan tiền điện tử dựa trên chuỗi khối, thường là Bitcoin (BTC ).

Đây là lúc luật mới nên giúp ích vì cho đến nay, các nạn nhân của ransomware hiếm khi báo cáo hành vi tống tiền cho cơ quan chính phủ hoặc những người khác. 

“Nó sẽ rất hữu ích,” Roman Bieda, người đứng đầu các cuộc điều tra gian lận tại Coinfirm, nói với Cointelegraph. “Khả năng ngay lập tức ‘gắn cờ’ các đồng tiền, địa chỉ hoặc giao dịch cụ thể là ‘rủi ro’ [...] cho phép tất cả người dùng phát hiện ra rủi ro ngay cả trước bất kỳ nỗ lực rửa tiền nào.”

Allan Liska, nhà phân tích tình báo cấp cao tại Recorded Future, nói với Cointelegraph: “Nó chắc chắn sẽ hỗ trợ phân tích bởi các nhà nghiên cứu pháp y blockchain. “Mặc dù các nhóm ransomware thường chuyển ví cho mỗi cuộc tấn công ransomware, nhưng số tiền đó cuối cùng sẽ quay trở lại một ví duy nhất. Các nhà nghiên cứu chuỗi khối đã rất giỏi trong việc kết nối các dấu chấm đó.” Ông nói thêm rằng họ đã có thể làm được điều này bất chấp sự pha trộn và các chiến thuật khác được sử dụng bởi các nhóm ransomware và những kẻ rửa tiền liên minh của họ. 

Siddhartha Dalal, giáo sư thực hành nghề nghiệp tại Đại học Columbia, đồng ý. Năm ngoái, Dalal là đồng tác giả của một bài báocó tiêu đề “Xác định tác nhân ransomware trong mạng Bitcoin” mô tả cách anh ấy và các nhà nghiên cứu đồng nghiệp của mình có thể sử dụng thuật toán máy học đồ thị và phân tích chuỗi khối để xác định những kẻ tấn công ransomware với “độ chính xác dự đoán 85% trên bộ dữ liệu thử nghiệm.” 

Mặc dù kết quả của họ rất đáng khích lệ, nhưng các tác giả tuyên bố rằng họ có thể đạt được độ chính xác cao hơn nữa bằng cách cải thiện thuật toán của mình hơn nữa và quan trọng là “thu được nhiều dữ liệu đáng tin cậy hơn”.

Thách thức đối với các nhà lập mô hình pháp y ở đây là họ đang làm việc với dữ liệu mất cân bằng hoặc sai lệch cao. Các nhà nghiên cứu của Đại học Columbia đã có thể rút ra 400 triệu giao dịch Bitcoin và gần 40 triệu địa chỉ Bitcoin, nhưng chỉ 143 trong số này là địa chỉ ransomware đã được xác nhận. Nói cách khác, các giao dịch không gian lận vượt xa các giao dịch gian lận. Với dữ liệu sai lệch như thế này, mô hình sẽ đánh dấu rất nhiều thông tin sai lệch hoặc sẽ bỏ qua dữ liệu gian lận dưới dạng một tỷ lệ phần trăm nhỏ.

Bieda của Coinfirm đã cung cấp mộtví dụ về vấn đề này trong một cuộc phỏng vấn năm ngoái:

“Giả sử bạn muốn xây dựng một mô hình lấy ảnh chó từ kho ảnh mèo, nhưng bạn có bộ dữ liệu huấn luyện với 1.000 ảnh mèo và chỉ một ảnh chó. Một mô hình máy học ‘sẽ biết rằng có thể coi tất cả ảnh là ảnh mèo vì tỷ lệ lỗi là [chỉ] 0,001.’”

Nói cách khác, thuật toán sẽ “chỉ đoán ‘con mèo’ mọi lúc, điều này sẽ khiến mô hình trở nên vô dụng, tất nhiên, ngay cả khi nó đạt điểm cao về độ chính xác tổng thể.”

Dalal đã được hỏi liệu luật mới này của Hoa Kỳ có giúp mở rộng bộ dữ liệu công khai về các địa chỉ tiền điện tử và Bitcoin “lừa đảo” cần thiết để phân tích chuỗi khối hiệu quả hơn về các mạng ransomware hay không. 

“Không có câu hỏi nào về điều đó,” Dalal nói với Cointelegraph. “Tất nhiên, nhiều dữ liệu hơn luôn tốt cho bất kỳ phân tích nào.” Nhưng quan trọng hơn, theo luật, các khoản thanh toán ransomware sẽ được tiết lộ trong khoảng thời gian 24 giờ, điều này cho phép “cơ hội phục hồi tốt hơn và cả khả năng xác định máy chủ và phương pháp tấn công để các nạn nhân tiềm năng khác có thể thực hiện các bước phòng thủ bảo vệ họ,” ông nói thêm. Đó là bởi vì hầu hết thủ phạm sử dụng chính phần mềm độc hại đó để tấn công các nạn nhân khác. 

Một công cụ pháp y không được sử dụng đúng mức

Người ta thường không biết rằng cơ quan thực thi pháp luật được lợi khi bọn tội phạm sử dụng tiền điện tử để tài trợ cho các hoạt động của chúng. Kimberly Grauer, giám đốc nghiên cứu của Chainalysis cho biết: “Bạn có thể sử dụng phân tích chuỗi khối để khám phá toàn bộ hoạt động của chuỗi cung ứng của họ. “Bạn có thể thấy nơi họ mua dịch vụ lưu trữ chống đạn, nơi họ mua phần mềm độc hại, đơn vị liên kết của họ có trụ sở tại Canada”, v.v. “Bạn có thể nhận được rất nhiều thông tin chi tiết về các nhóm này”thông qua phân tích chuỗi khối , cô ấy đã nói thêm tại Hội nghị bàn tròn truyền thông Chainalysis gần đây ở Thành phố New York. 

Tuy nhiên, liệu luật này, vẫn sẽ mất nhiều tháng để thực hiện, có thực sự hữu ích không? “Đó là một điều tích cực, nó sẽ hữu ích,” Salman Banaei, đồng trưởng bộ phận chính sách công tại Chainalysis, đã trả lời tại cùng một sự kiện. “Chúng tôi đã ủng hộ điều đó, nhưng không giống như chúng tôi đã mù quáng trước đây.” Nó sẽ làm cho những nỗ lực pháp y của họ hiệu quả hơn đáng kể? “Tôi không biết liệu nó có giúp chúng tôi làm việc hiệu quả hơn hay không, nhưng chúng tôi mong đợi một số cải thiện về phạm vi phủ sóng dữ liệu.”

Vẫn còn nhiều chi tiết cần được giải quyết trong quá trình xây dựng quy tắc trước khi luật được thực thi, nhưng một câu hỏi rõ ràng đã được đặt ra: Những công ty nào sẽ cần phải tuân thủ? “Điều quan trọng cần nhớ là dự luật chỉ áp dụng cho ‘các thực thể sở hữu hoặc vận hành cơ sở hạ tầng quan trọng’,” Liska nói với Cointelegraph. Mặc dù điều đó có thể bao gồm hàng chục nghìn tổ chức trên 16 lĩnh vực, nhưng “yêu cầu này vẫn chỉ áp dụng cho một phần nhỏ các tổ chức ở Hoa Kỳ.”

Nhưng, có thể không.Theo tới Bipul Sinha, Giám đốc điều hành và đồng sáng lập của Rubrik, một công ty bảo mật dữ liệu, những lĩnh vực cơ sở hạ tầng đó được trích dẫn trong luậtbao gồm dịch vụ tài chính, CNTT, năng lượng, y tế, vận tải, sản xuất và cơ sở thương mại. “Nói cách khác, gần như tất cả mọi người,” ông viết trong tạp chí Fortune. bài viết gần đây.

Một câu hỏi khác: Mọi cuộc tấn công đều phải được báo cáo, ngay cả những cuộc tấn công được coi là tương đối nhỏ? Cơ quan An ninh mạng và Cơ sở hạ tầng, nơi các công ty sẽ báo cáo, gần đây đã nhận xét rằng ngay cả những hành vi nhỏ cũng có thể được coi là phải báo cáo. “Do nguy cơ các cuộc tấn công mạng của Nga đang rình rập [...] bất kỳ sự cố nào cũng có thể cung cấp những mẩu bánh mì quan trọng dẫn đến một kẻ tấn công tinh vi,” New York Timesbáo cáo . 

Có đúng không khi cho rằng chiến tranh khiến nhu cầu thực hiện các hành động phòng ngừa trở nên cấp bách hơn? Rốt cuộc, Tổng thống Joe Biden, trong số những người khác, đã nêu ra khả năng xảy ra các cuộc tấn công mạng trả đũa từ chính phủ Nga. Tuy nhiên, Liska không nghĩ rằng mối lo ngại này đã được giải quyết — ít nhất là chưa:

“Các cuộc tấn công ransomware trả đũa sau cuộc xâm lược Ukraine của Nga dường như không thành hiện thực. Giống như phần lớn cuộc chiến, có sự phối hợp kém từ phía Nga, vì vậy bất kỳ nhóm ransomware nào có thể đã được huy động đều không.”

Tuy nhiên, gần 3/4 số tiền kiếm được thông qua các cuộc tấn công bằng mã độc tống tiền đã rơi vào tay các tin tặc có liên hệ với Nga vào năm 2021,theo sang Chainalysis, vì vậy không thể loại trừ một bước tiến trong hoạt động từ đó. 

Không phải là một giải pháp độc lập

Bieda cho biết các thuật toán học máy xác định và theo dõi các tác nhân ransomware tìm kiếm thanh toán qua blockchain — và hầu hết tất cả các ransomware đều được kích hoạt blockchain — chắc chắn sẽ cải thiện ngay bây giờ. Tuy nhiên, các giải pháp học máy chỉ là “một trong những yếu tố hỗ trợ phân tích chuỗi khối và không phải là một giải pháp độc lập”. Vẫn còn một nhu cầu cấp thiết “đối với sự hợp tác rộng rãi trong ngành giữa cơ quan thực thi pháp luật, các công ty điều tra chuỗi khối, nhà cung cấp dịch vụ tài sản ảo và tất nhiên là cả nạn nhân của gian lận trong chuỗi khối”.

Dalal nói thêm rằng vẫn còn nhiều thách thức kỹ thuật, chủ yếu là kết quả của tính chất độc đáo của tính năng ẩn danh giả, giải thích với Cointelegraph: 

“Hầu hết các chuỗi khối công khai đều không được phép và người dùng có thể tạo bao nhiêu địa chỉ tùy thích. Các giao dịch thậm chí còn trở nên phức tạp hơn vì có các máy trộn và các dịch vụ trộn khác có thể trộn tiền bị nhiễm độc với nhiều loại tiền khác. Điều này làm tăng độ phức tạp tổ hợp của việc xác định thủ phạm ẩn nấp sau nhiều địa chỉ.”

Tiến bộ hơn?

Tuy nhiên, mọi thứ dường như đang đi đúng hướng. “Tôi nghĩ rằng chúng ta đang đạt được những tiến bộ đáng kể với tư cách là một ngành,” Liska nói thêm, “và chúng ta đã làm được điều đó tương đối nhanh.” Một số công ty đã và đang thực hiện công việc rất sáng tạo trong lĩnh vực này, “và Bộ Tài chính và các cơ quan chính phủ khác cũng bắt đầu thấy giá trị trong phân tích chuỗi khối.”

Mặt khác, trong khi phân tích chuỗi khối rõ ràng đang đạt được những bước tiến, “hiện tại có rất nhiều tiền được tạo ra từ ransomware và hành vi trộm cắp tiền điện tử đến mức ngay cả tác động của công việc này cũng trở nên mờ nhạt so với vấn đề chung,” Liska nói thêm.

Mặc dù Bieda nhìn thấy sự tiến bộ, nhưng vẫn sẽ là một thách thức để khiến các công ty báo cáo gian lận blockchain, đặc biệt là bên ngoài Hoa Kỳ. Ông nói: “Trong hai năm qua, hơn 11.000 nạn nhân của lừa đảo trong chuỗi khối đã tiếp cận Coinfirm thông qua trang web Reclaim Crypto của chúng tôi. “Một trong những câu hỏi mà chúng tôi đặt ra là, ‘Bạn đã báo cáo hành vi trộm cắp cho cơ quan thực thi pháp luật chưa?’ — và nhiều nạn nhân đã không báo cáo.”

Dalal cho biết nhiệm vụ của chính phủ là một bước quan trọng theo đúng hướng. “Đây chắc chắn sẽ là một yếu tố thay đổi cuộc chơi,” anh ấy nói với Cointelegraph, vì những kẻ tấn công sẽ không thể lặp lại việc sử dụng các kỹ thuật ưa thích của chúng, “và chúng sẽ phải di chuyển nhanh hơn nhiều để tấn công nhiều mục tiêu. Nó cũng sẽ làm giảm sự kỳ thị gắn liền với các cuộc tấn công và các nạn nhân tiềm năng sẽ có thể tự bảo vệ mình tốt hơn.”