Sikkerhedsekspert snuser ransomware-bagmænd frem med machine learning

En sikkerhedsekspert fra Google har sporet bitcoin-overførsler fra 34 ransomware-typer med machine learning.

Ransomware får sikkerhedschefer verden over til at sove usikkert, og da der kun er anholdt en enkelt formodet bagmand i sagen om det verdensomspændende NotPetya-angreb, kan man godt miste troen på, at man kan finde frem til data-gidseltagerne.

Foto:Elie Burzstein

Det gav Elie Burzstein blod på tanden.

Han leder Googles antimisbrugsforskningsafdeling og har skrevet en blogpost, hvor han viser, hvordan de med machine learning har optrævlet et net af bitcoin-punge, som overfører ransomware-betalingen fra offer til bagmand.

Læs også: NotPetya-cyberangreb koster Mærsk milliardbeløb

Det hele starter med at downloade malware - og rigtigt meget af det.

Automatiseret virus-download

Som alle andre machine learning-projekter skulle Burzsteins hold bruge data.

De brugte sikkerhedsdatabasen VirusTotal til at downloade kopier af ransomware fra hele verden og kodede en algoritme til at sortere viraene efter familie som NotPetya, WannaCry, Bitlocker osv.

Det skaffede holdet 154.000 stykker malware, men det var ikke nok for dem. De skrev en clustering-algoritme, som fandt ligheder i malwarens maskinkoder, og sorterede dem efter familie. Blandt andet ved at kigge på de domæner, som malwaren ringede hjem til.

Det hjalp dem til at opdage endnu flere stykker malware ved at crawle domæner og adresser associeret med ransomware, og de havde nu et datasæt på lidt over 300.000 forskellige ransomware. Nu skulle der snuses bitcoin punge frem.

Bekæmpede automatisering med mere automatisering

Bitcoin er ikke, som mange medier misforstår, anonymt. Alle kan tilgå blockchainen og se samtlige overførsler, der laves. Når det er cyberkriminelles foretrukne kryptovaluta, er det i stedet, fordi der er så mange kæmpeoverførsler på blockchainen, at de kriminelle ikke stikker ud.

Som om det ikke var slemt nok at finde den nål i en høstak på mellem 200.000-350.000 daglige bitcoin-overførsler, så er de fleste bitcoin-punge, som offeret skal betale løsesum til, automatisk genereret til den ene infektion.

Og når pungen modtager løsesummen, sendes den ofte igennem et net af andre punge og såkaldte bitcoin-mixers for at hvidvaske løsesummen.

Det viser sig heldigvis, at bagmændene har enkelte punge, som hele løsesummen ender i, og som bruges til at hæve millioner af dollars. Forskerne overførte derfor et lille beløb til de første kontoer i denne kæde og fulgte, hvordan den ene pung automatisk overførte til den næste osv., indtil summen ikke bevægede sig mere.

Ved at gøre dette flere tusinde gange for hele deres pøl af ransomware er det lykkedes holdet at finde frem til de store bagmænd bag ransomwaren, teaser Burzstein. Men mere vil han ikke røbe før næste blogpost.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017