Per catturare un riscattatore: come l'FBI insegue il crimine sulla blockchain

L'agente speciale dell'FBI Joseph Battaglia è seduto a una scrivania tra un detective della polizia di New York e un dipendente dell'Internal Revenue Service (IRS).

Incaricati di contribuire alla supervisione delle indagini presso la sede di New York della divisione informatica dell'FBI, Battaglia e i suoi colleghi hanno sviluppato metodi per identificare un'ampia gamma di attività criminali online, che vanno dall'uso di materiale pedopornografico allo spionaggio.

Ma durante un recente discorso alla facoltà di giurisprudenza della Fordham University di New York City, Battaglia ha svelato il velo di un diverso tipo di indagine. Rivolgendosi a un gruppo di circa 150 studenti di giurisprudenza e ad altri partecipanti all'iniziativa blockchain inaugurale ospitata da IBM e dall'università, Battaglia ha fornito un resoconto dettagliato di come identifica i criminali che utilizzano ransomware Criptovaluta .

La chiave per superare una serie di ostacoli in questo processo, ha affermato, è la collaborazione tra alcune organizzazioni pubbliche e private chiave e un pensiero "fuori dagli schemi".

Nel suo discorso inaugurale, Battaglia ha detto al pubblico:

"Posso utilizzare tutti questi metodi per identificare effettivamente il mio soggetto, anche se la mia indagine è iniziata semplicemente con una denuncia da parte di una vittima che aveva un indirizzo Bitcoin che T era ancora stato utilizzato sulla blockchain."

Tutto, ha spiegato Battaglia, inizia con un singolo utente che apre il suo computer e scopre di aver ricevuto un'e-mail che lo informa che i suoi file sono stati bloccati con una "crittografia di livello militare" e T verranno rilasciati a meno che non paghi un riscatto.

Il settantacinque percento delle volte la Request di riscatto è denominata in Bitcoin, ha detto, ma altre criptovalute che sono state utilizzate includono Litecoin e sempre più popolareMonero.

In genere, la richiesta di riscatto includerà istruzioni su come acquistare e spendere la Criptovaluta scelta.

Pagare o non pagare?

A quel punto, la vittima deve decidere se pagare o meno.

Sebbene l'FBI T incoraggi le persone a cedere a tali richieste, Battaglia ha spiegato che a volte i fascicoli professionali vengono compromessi, lasciando alla vittima altra scelta se non quella di consegnare i fondi per poter continuare a svolgere attività cruciali.

Tali attacchi sono così diffusi che, nel 2016, la società di sicurezza dei dati Citrix ha pubblicato un rapporto che mostrava che le piccole imprese eranoaccumulo di scorte Bitcoin in caso di richiesta di riscatto. Lo stesso anno, il Dipartimento della Sicurezza Interna degli Stati Uniti (DHS)finanziato lo sviluppo di uno strumento di analisi Bitcoin specificamente mirato al ransomware.

Ma anche se la vittima decide di non pagare, l'FBI ha modo di identificare la portata dell'attacco e l'identità dell'autore, anche su un indirizzo Bitcoin inutilizzato.

"Dato che l'indirizzo T è ancora stato utilizzato sulla blockchain Bitcoin ", ha detto Battaglia, "non ci saranno ancora informazioni che potrò ottenere sulla blockchain. Ma posso prendere la nota di riscatto e inserirla in IC3".

Fondato nel 2000, l'Internet Crime Complaint Center (IC3) dell'FBI accetta segnalazioni di presunti crimini informatici tra cui furto di proprietà intellettuale, spionaggio aziendale ed "estorsione online" o ransomware.

A settembre, IC3 ha pubblicato undichiarazioneincoraggiando le vittime a segnalare gli incidenti ransomware all'FBI, aggiungendo che, nei primi mesi dell'anno scorso, "le infezioni ransomware a livello globale hanno raggiunto il massimo storico".

IC3ricevutooltre 8.000 reclami nel 2015, con una perdita totale segnalata di circa 275 milioni di dollari.

Anche se T viene pagato un riscatto, Battaglia ha indicato che il suo team confronterà la richiesta di riscatto con quelle archiviate presso IC3 per cercare collegamenti. In casi simili con richieste simili, alcune vittime potrebbero aver deciso di pagare il riscatto, il che potrebbe fornire dati utili per i casi in cui il riscatto non è stato pagato.

Gli indirizzi delle vittime che hanno pagato vengono quindi elaborati dallo "strumento blockchain" dell'FBI per generare un elenco di portafogli associati alla stessa "entità" che ha emesso la richiesta di riscatto. Dal pool iniziale di indirizzi che hanno pagato, l'FBI cerca quindi connessioni tra il portafoglio del destinatario e le sue spese.

Sebbene i dati iniziali possano essere limitati, man mano che vengono spesi più fondi lo strumento accumula più dati, anche da 'cambiare indirizzoche restituiscono satoshi o altre denominazioni al portafoglio del destinatario originale.

"Potrei scoprire che quelle transazioni avvengono all'interno di un altro cluster di indirizzi Bitcoin di cui T so nulla", ha detto Battaglia, "e il mio strumento di analisi T sa nulla. Ma posso prendere quegli indirizzi, estrarli, inserirli nel nostro sistema di gestione dei casi".

Lo stesso ma diverso

Battaglia ha affermato che, esaminando il cluster di indirizzi Bitcoin tramite il sistema di gestione dei casi dell'FBI, cercherà casi in cui lavorano altri agenti che hanno raccolto ulteriori informazioni identificabili.

Ad esempio, potrebbe trattarsi di un agente dell'FBI che sta lavorando con un "collaboratore su un mercato darknet" e che sa che i fondi associati agli indirizzi sono anche associati a qualcuno che vendeestremamente popolarecredenziali RDP (Remote Desktop Protocol) per accedere a computer di terze parti da qualsiasi parte del mondo.

"Adesso abbiamo un'idea di cosa sta succedendo con il ransomware e forse di come l'intruso è entrato nei computer delle vittime", ha affermato Battaglia.

Con queste informazioni, gli investigatori dell'FBI tornavano dalla vittima originale per verificare se sul suo computer era in esecuzione un RDP e, in tal caso, quali indirizzi IP apparivano nei registri del computer.

L'FBI cercherà non solo indirizzi sconosciuti alla vittima, ma anche indirizzi noti a cui accedono utenti che normalmente T effettuano l'accesso o che effettuano l'accesso in orari insoliti.

Sebbene queste informazioni possano inizialmente offrire alla vittima un modo per ridurre al minimo ulteriori attacchi modificando le proprie credenziali di accesso, T forniranno necessariamente molte più informazioni sull'autore. "Quindi continuerò a esaminare la blockchain e cercherò di trovare connessioni ad altri portafogli o cluster di indirizzi", ha affermato.

Battaglia ora inizierebbe probabilmente a cercare connessioni nel tempo, come un pagamento mensile effettuato da ONE degli indirizzi Bitcoin sospetti a un exchange Bitcoin negli Stati Uniti, per il quale potrebbe notificare un mandato di comparizione per Imparare a cosa servivano le transazioni.

Una volta identificato il destinatario del pagamento, l'investigatore avrà un indirizzo IP di un server virtuale con un nome e un indirizzo "che sono probabilmente falsi", ha detto. "Mi aspetto che siano falsi".

Il trambusto

A quel punto, l'indagine diventa vecchia scuola.

Battaglia ha affermato che avrebbe poi implementato tecniche investigative "tradizionali", come il riferimento incrociato degli indirizzi su un registro IP, come l'American Registry for Internet Numbers (ARIN) o il Global IP Address Database, per cercare di identificare quali connessioni vengono effettuate al server.

Ma tutto questo è vano se l'autore è riuscito ad accedere a una rete privata virtuale (VPN) che protegge l'identità.

L'anno scorso, Globalwebindexsegnalato che ONE utente su quattro accedeva a una VPN ogni giorno, con il 70% degli intervistati che accedeva settimanalmente. Negli Stati Uniti, in India e in Malesia, i numeri sono ancora più alti, raggiungendo ONE utente su tre che accedeva a una VPN che oscurava l'identità ogni giorno.

Sono motivo di preoccupazione anche per i combattenti della criminalità:sempre più sofisticato mixer Bitcoin che nascondono le fonti Bitcoin e sono stati la scorsa settimana repressoin un'iniziativa congiunta tra Europol, Interpol e il Basel Institute on Governance. Anche gli sviluppi nelle tecnologie Criptovaluta sono un problema; ad esempio, Monero, un altcoin che migliora la privacy cheT ha bisogno di essere mescolatoessere oscurato.

"Ma la gente diventa negligente", ha detto Battaglia.

La prova che un riscattatore ha smesso di prestare attenzione ai dettagli potrebbe includere la connessione a Internet tramite hotspot Wi-Fi pubblici, facendo affidamento sul grande volume di persone presenti nel luogo per creare una cortina fumogena e oscurare la propria identità.

L'agente speciale ha detto:

"Attraverso i ricercatori che abbiamo all'ufficio, possiamo quindi analizzare tutti quei dati, analizzare i database... e tracciare soggetti molto simili a quelli che ho appena descritto."

Oltre l'FBI, oltre il Bitcoin

Fondata presso la sede centrale dell'FBI nel 2002, la divisione informatica ora divide il suo lavoro più o meno equamente tra casi di sicurezza nazionale e casi penali, secondo Battaglia.

Per aumentare ulteriormente le probabilità di successo, l'organizzazione è composta da squadre sparse in tutti gli Stati Uniti e ha collaborazioni con altre agenzie, tra cui la polizia di stato, l'IRS, i servizi Secret e "detective di tutti i tipi di diverse agenzie di forze dell'ordine", ha spiegato.

Battaglia ha menzionato anche le partnership con membri del settore privato, che aiutano a identificare i punti di accesso utilizzati dai criminali; le "cooperative" che in passato si sono cacciate nei guai e in seguito si sono unite alle indagini come "ricercatori indipendenti"; e gli addetti legali in tutto il mondo.

ONE dei partner più importanti dell'FBI è il Financial Crimes Enforcement Network, che nel 2014 ha contribuito a far entrare il Bitcoin nell'uso comune quando dichiarato Gli exchange Bitcoin sono considerati legalmente dei servizi di trasferimento di denaro e devono essere autorizzati come tali.

In futuro, tuttavia, Battaglia ha affermato di essere pronto ad avviare indagini sulle applicazioni della Tecnologie blockchain che vanno oltre la semplice Criptovaluta.

Finché la Tecnologie supporta un'ampia gamma di possibili assetinclude considerazioni che consentono di "verificarlo e ispezionarlo correttamente", ha affermato Battaglia, "il fatto che tutto sia registrato in un registro pubblico permanente e non modificabile è molto positivo dal punto di vista della raccolta di prove".

Il fattore Human

Mentre l'FBI ha ricevuto la sua quota dicriticaper averedifficoltàrisoluzione dei casi di ransomware, avvio dell'analisi blockchain Chainalysis l'anno scorso previstoun aumento degli arresti dovuto alle nuove partnership ad alta tecnologia.

Ma è all’incrocio tra strumenti ad alta tecnologia e indagini tradizionali che il capo di Battaglia, l’agente speciale supervisore Jay Kramer, pensa che l’FBI debba continuare a migliorare.

Parlando dal pubblico presente all'evento, Kramer ha affermato che l'FBI riconosce che i vecchi tempi in cui si poteva "avere accesso ai contenuti" tramite intercettazioni telefoniche sono ormai tramontati.

"Siamo consapevoli che non avremo accesso alle comunicazioni criptate sugli iPhone, semplicemente non lo faremo", ha detto Kramer. "Quindi cosa stiamo facendo? Aspetteremo una soluzione tecnologica? No."

Kramer ha sottolineato che l'FBI deve raddoppiare i suoi sforzi per sviluppareHuman risorse:

"Persone che vogliono segnalare all'FBI le cose che hanno da offrire. Il complice di un cattivo attore che ci darà solo quella chiave privata, invece di provare qualche mezzo tecnologico per ottenere la chiave privata."

Immagini tramite l'autore per CoinDesk