To Catch a Ransomer: Paano Hinahabol ng FBI ang Krimen sa Blockchain

Ang espesyal na ahente ng FBI na si Joseph Battaglia ay nakaupo sa isang mesa sa pagitan ng isang detektib ng pulisya ng New York at isang empleyado ng Internal Revenue Service (IRS).

Si Battaglia at ang kanyang mga kasamahan ay nakagawa ng mga pamamaraan para sa pagtukoy ng malawak na hanay ng mga online na aktibidad na kriminal, mula sa paggamit ng child porn hanggang sa espionage.

Ngunit sa isang kamakailang keynote address sa paaralan ng batas ng Fordham University sa New York City, inalis ni Battaglia ang kurtina ng ibang uri ng pagsisiyasat. Sa pagtugon sa isang grupo ng humigit-kumulang 150 law students at iba pang dumalo sa inaugural blockchain initiative na hino-host ng IBM at ng unibersidad, nagbigay si Battaglia ng sunud-sunod na account kung paano niya kinikilala ang mga kriminal gamit ang Cryptocurrency ransomware.

Ang susi sa pagtagumpayan ng hanay ng mga hadlang sa prosesong ito, aniya, ay ang pakikipagtulungan sa pagitan ng ilang pangunahing pampubliko at pribadong organisasyon at ilang 'outside the box' na pag-iisip.

Sa pagsasalita sa keynote address, sinabi ni Battaglia sa madla:

"Maaari kong gamitin ang lahat ng mga pamamaraang ito upang aktwal na matukoy ang aking paksa noong nagsimula ang aking pagsisiyasat nang walang iba kundi isang reklamo mula sa isang biktima na may Bitcoin address na T pa ginagamit sa blockchain."

Lahat, detalyado ni Battaglia, ay nagsisimula sa isang user na nagbukas ng kanyang computer at natuklasan na nakatanggap sila ng email na nagpapaalam sa kanila na ang kanilang mga file ay naka-lock na may "military grade encryption" at T ipapalabas maliban kung magbabayad sila ng ransom.

Pitumpu't limang porsyento ng oras na ang Request sa ransom ay denominasyon sa Bitcoin, aniya, ngunit ang iba pang mga cryptocurrencies na ginamit ay kinabibilangan ng Litecoin at ang lalong tanyagMonero.

Karaniwan, ang ransom note ay magsasama ng mga tagubilin sa pagbili at paggastos ng Cryptocurrency na pinili.

Magbabayad o hindi magbabayad?

Sa puntong iyon, kailangang magpasya ang biktima kung magbabayad sila o hindi.

Bagama't T hinihikayat ng FBI ang mga tao na magbigay sa mga naturang kahilingan, ipinaliwanag ni Battaglia na ang mga propesyonal na file ay minsan nakompromiso, na iniiwan ang biktima na maliit na pagpipilian kundi ibigay ang mga pondo upang makapagpatuloy sa mahalagang negosyo.

Napakalawak ng mga pag-atake na, noong 2016, ang data security firm na Citrix ay nag-publish ng isang ulat na nagpapakita na ang mga maliliit na negosyo ay pag-iimbak Bitcoin kung sakaling humingi ng ransom. Sa parehong taon, ang US Department of Homeland Security (DHS)pinondohan ang pagbuo ng isang tool sa pagtatasa ng Bitcoin na partikular na naglalayong sa ransomware.

Ngunit kahit na nagpasya ang biktima na huwag magbayad, ang FBI ay may mga paraan upang matukoy ang saklaw ng pag-atake at ang pagkakakilanlan ng may kasalanan, kahit na sa isang hindi nagamit na Bitcoin address.

"Dahil ang address ay T pa ginagamit sa Bitcoin blockchain," sabi ni Battaglia, "wala pang anumang impormasyon na makukuha ko sa blockchain. Ngunit maaari kong kunin ang ransom note at isaksak ito sa IC3."

Itinatag noong 2000, ang Internet Crime Complaint Center (IC3) ng FBI ay tumatanggap ng mga ulat ng mga di-umano'y cyber crime kabilang ang pagnanakaw ng intelektwal na ari-arian, corporate espionage at "online extortion" o ransomware.

Noong Setyembre, inilathala ng IC3 ang isang pahayag hinihikayat ang mga biktima na mag-ulat ng mga insidente ng ransomware sa FBI, at idinagdag na, sa unang ilang buwan ng nakaraang taon, "ang mga pandaigdigang impeksyon sa ransomware ay nasa pinakamataas na lahat."

IC3 natanggap mahigit 8,000 reklamo noong 2015, na may kabuuang naiulat na pagkawala ng humigit-kumulang $275m.

Kahit na T binabayaran ang isang ransom, ipinahiwatig ni Battaglia na ihahambing ng kanyang koponan ang hinihingi ng ransom sa mga nasa file sa IC3 upang maghanap ng mga koneksyon. Sa mga katulad na kaso na may katulad na mga kahilingan, maaaring nagpasya ang ilang biktima na bayaran ang ransom, na nagreresulta sa posibleng nakakatulong na data para sa mga kaso kung saan hindi binayaran ang ransom.

Ang mga address mula sa mga biktimang nagbayad ay pinoproseso ng "blockchain tool" ng FBI para makabuo ng listahan ng mga wallet na nauugnay sa parehong "entity" na nagbigay ng ransom demand. Mula sa unang pool ng mga address na nagbayad, ang FBI ay naghahanap ng mga koneksyon sa pagitan ng tatanggap na pitaka at mga paggasta nito.

Bagama't maaaring limitado ang paunang data, dahil mas marami sa mga pondo ang ginagastos, ang tool ay nag-iipon ng mas maraming data, kabilang ang mula sa 'baguhin ang mga address' na nagbabalik ng satoshi o iba pang denominasyon sa orihinal na wallet ng tatanggap.

"Maaaring makita ko na ang mga transaksyong iyon ay nangyayari sa loob ng isa pang kumpol ng mga Bitcoin address na T ko alam," sabi ni Battaglia, "at ang aking tool sa pagsusuri ay T alam tungkol sa anumang bagay. Ngunit maaari kong kunin ang mga address na iyon, bunutin ang mga ito, isaksak ang mga ito sa aming sistema ng pamamahala ng kaso."

Pareho pero magkaiba

Kapag nagpapatakbo ng kumpol ng mga address ng Bitcoin sa pamamagitan ng sistema ng pamamahala ng kaso ng FBI, sinabi ni Battaglia na maghahanap siya ng mga kaso na pinagtatrabahuhan ng ibang mga ahente na nakakalap ng karagdagang makikilalang impormasyon.

Halimbawa, ito ay maaaring isang ahente ng FBI na nagtatrabaho sa isang "cooperator sa isang darknet marketplace" at nakakaalam na ang mga pondong nauugnay sa mga address ay nauugnay din sa isang taong nagbebenta lubhang popular mga kredensyal ng remote desktop protocol (RDP) para sa pag-access ng mga third-party na computer mula sa kahit saan sa mundo.

"Kaya ngayon, mayroon kaming ideya kung ano ang nangyayari sa ransomware at marahil kung paano nakapasok ang nanghihimasok sa mga computer ng mga biktima," sabi ni Battaglia.

Gamit ang impormasyong iyon, babalik ang mga investigator ng FBI sa orihinal na biktima upang makita kung ang isang RDP ay pinapatakbo sa kanyang computer, at kung gayon, anong mga IP address ang lumalabas sa mga log ng computer.

Ang FBI ay maghahanap hindi lamang ng mga address na hindi alam ng biktima, ngunit para sa mga kilalang address na ina-access ng mga user na T karaniwang nagla-log in, o nagla-log in sa mga hindi pangkaraniwang oras.

Bagama't ang impormasyong ito sa simula ay maaaring magbigay sa biktima ng paraan upang mabawasan ang karagdagang pag-atake sa pamamagitan ng pagpapalit ng kanilang mga kredensyal sa pag-log in, T ito nangangahulugang magbibigay ng higit pang impormasyon tungkol sa may kasalanan, "Kaya patuloy akong titingin sa blockchain at susubukan kong maghanap ng mga koneksyon sa iba pang mga wallet o kumpol ng mga address," sabi niya.

Malamang na si Battaglia ay magsisimula na ngayong maghanap ng mga koneksyon sa buong panahon, tulad ng buwanang pagbabayad na ginawa mula sa ONE sa mga kahina-hinalang Bitcoin address sa isang Bitcoin exchange sa US, kung saan maaari siyang maghatid ng subpoena upang Learn kung ano ang binabayaran ng mga transaksyon.

Kapag natukoy na ang tatanggap ng pagbabayad, ang imbestigador ay magkakaroon ng IP address ng isang virtual server na may pangalan at address na "malamang peke iyon," aniya. "Inaasahan ko na ito ay peke."

Ang pagmamadali

Sa puntong iyon, ang pagsisiyasat ay nakakakuha ng lumang paaralan.

Sinabi ni Battaglia na susunod niyang ipapatupad ang "tradisyonal" na mga diskarte sa pagsisiyasat, tulad ng pag-cross-reference sa mga address sa isang IP registry, gaya ng American Registry for Internet Numbers (ARIN) o Global IP Address Database, upang subukang tukuyin kung aling mga koneksyon ang ginagawa sa server.

Ngunit walang kabuluhan ang lahat kung matagumpay na naka-log in ang salarin sa isang virtual private network na nagpoprotekta sa pagkakakilanlan, o VPN.

Noong nakaraang taon, ang Globalwebindex iniulat na ONE sa apat na user ang nag-access ng VPN araw-araw, na may 70% ng mga respondent na nag-a-access linggu-linggo. Sa US, India, at Malaysia, ang mga numero ay mas mataas pa, na umaabot sa ONE sa tatlong mga gumagamit na nag-a-access ng isang pagkakakilanlan na nakakubli sa VPN araw-araw.

Gayundin ng pag-aalala sa mga crimefighters, ay lalong sopistikado mga Bitcoin mixer na nakakubli sa mga pinagmumulan ng Bitcoin at noong nakaraang linggo sinira sasa isang pinagsamang inisyatiba sa pagitan ng Europol, Interpol at ng Basel Institute on Governance. Ang mga pag-unlad sa mga teknolohiyang Cryptocurrency ay isa ring isyu; halimbawa, Monero, isang altcoin na nagpapahusay sa privacy naT kailangang ihalo upang matakpan.

"Ngunit ang mga tao ay nagiging palpak," sabi ni Battaglia.

Ang katibayan ng isang ransomer na huminto sa pagbibigay pansin sa mga detalye ay maaaring kabilangan ng kanilang pagkonekta sa Internet sa pamamagitan ng mga pampublikong Wi-Fi hotspot, umaasa sa malaking dami ng mga tao sa lokasyon upang magbigay ng smoke screen upang itago ang kanilang pagkakakilanlan.

Sinabi ng espesyal na ahente:

"Sa pamamagitan ng mga mananaliksik na mayroon tayo sa bureau, maaari nating suriin ang lahat ng data na iyon, suriin ang mga database ... at subaybayan ang mga paksa na halos kapareho sa mga inilarawan ko."

Higit pa sa FBI, lampas sa Bitcoin

Itinatag sa punong-tanggapan ng FBI noong 2002, hinahati na ngayon ng cyber division ang trabaho nito nang halos pantay-pantay sa pagitan ng mga kaso ng pambansang seguridad at mga kasong kriminal, ayon kay Battaglia.

Upang madagdagan pa ang posibilidad na magtagumpay, ang organisasyon ay binubuo ng mga squad na nakakalat sa buong US, at may mga pakikipagtulungan sa iba pang mga ahensya, kabilang ang pulis ng estado, IRS, ang Secret na serbisyo, at "mga detective mula sa lahat ng uri ng iba't ibang ahensyang nagpapatupad ng batas", paliwanag niya.

Binanggit din ni Battaglia ang pakikipagsosyo sa mga miyembro ng pribadong sektor, na tumutulong sa pagtukoy ng mga access point na ginagamit ng mga kriminal; "mga kooperatiba" na nagkaroon ng problema sa nakaraan at kalaunan ay sumali sa mga pagsisiyasat bilang "mga independiyenteng mananaliksik"; at mga legal na kalakip sa buong mundo.

Ang ONE sa mga pinakakilalang kasosyo ng FBI ay ang Financial Crimes Enforcement Network, na noong 2014 ay tumulong na dalhin ang Bitcoin sa pangunahing paggamit kapag ito ipinahayag Ang mga palitan ng Bitcoin ay legal na itinuturing na mga tagapagpadala ng pera at kailangang lisensyado bilang tulad.

Sa hinaharap, gayunpaman, sinabi ni Battaglia na handa siya para sa mga pagsisiyasat sa mga aplikasyon ng Technology ng blockchain na higit sa Cryptocurrency.

Hangga't ang Technology upang suportahan isang malawak na hanay ng mga posibleng asset kasama ang mga pagsasaalang-alang na nagpapahintulot na ito ay "ma-audit at masuri nang maayos", sinabi ni Battaglia na "ang katotohanan na ang lahat ay naitala sa isang pampublikong ledger na permanente at hindi nababago ay napakahusay mula sa isang pananaw sa pangongolekta ng ebidensya."

Ang kadahilanan ng Human

Habang natanggap ng FBI ang bahagi nito sa pagpuna para sa pagkakaroon kahirapanpaglutas ng mga kaso ng ransomware, blockchain analysis startup Chainalysis noong nakaraang taon hinulaan pagtaas ng mga pag-aresto dahil sa mga bagong high-tech na pakikipagsosyo.

Ngunit nasa intersection sa pagitan ng mga high-tech na tool at makalumang pagsisiyasat na iniisip ng boss ni Battaglia, ang supervisory special agent na si Jay Kramer, na kailangang patuloy na pagbutihin ang FBI.

Sa pagsasalita mula sa madla sa kaganapan, sinabi ni Kramer na kinikilala ng FBI ang mga lumang araw ng pagkuha ng "access sa nilalaman" sa pamamagitan ng wiretaps ay higit sa lahat ay tapos na.

"Kinikilala namin na hindi kami magkakaroon ng access sa mga naka-encrypt na komunikasyon sa mga iPhone, hindi lang kami pupunta," sabi ni Kramer. "So what are we doing? Maghihintay na lang ba tayo ng technological solution? Hindi."

Binigyang-diin ni Kramer na dapat doblehin ng FBI ang pagsisikap nitong umunlad Human mapagkukunan:

"Ang mga taong gustong mag-ulat sa FBI ng mga bagay na inaalok nila. Ang co-conspirator ng isang masamang aktor na ibibigay lang sa amin ang pribadong key na iyon, kumpara sa aming sinusubukan ang ilang teknolohikal na paraan upang makuha ang pribadong susi."

Mga larawan sa pamamagitan ng may-akda para sa CoinDesk