Sikkerhedsekspert snuser ransomware-bagmænd frem med machine learning

penge hvidvask money laundering
En sikkerhedsekspert fra Google har sporet bitcoin-overførsler fra 34 ransomware-typer med machine learning.

Ransomware får sikkerhedschefer verden over til at sove usikkert, og da der kun er anholdt en enkelt formodet bagmand i sagen om det verdensomspændende NotPetya-angreb, kan man godt miste troen på, at man kan finde frem til data-gidseltagerne.

Foto:Elie Burzstein

Det gav Elie Burzstein blod på tanden.

Han leder Googles antimisbrugsforskningsafdeling og har skrevet en blogpost, hvor han viser, hvordan de med machine learning har optrævlet et net af bitcoin-punge, som overfører ransomware-betalingen fra offer til bagmand.

Læs også: NotPetya-cyberangreb koster Mærsk milliardbeløb

Det hele starter med at downloade malware - og rigtigt meget af det.

Automatiseret virus-download

Som alle andre machine learning-projekter skulle Burzsteins hold bruge data.

De brugte sikkerhedsdatabasen VirusTotal til at downloade kopier af ransomware fra hele verden og kodede en algoritme til at sortere viraene efter familie som NotPetya, WannaCry, Bitlocker osv.

Det skaffede holdet 154.000 stykker malware, men det var ikke nok for dem. De skrev en clustering-algoritme, som fandt ligheder i malwarens maskinkoder, og sorterede dem efter familie. Blandt andet ved at kigge på de domæner, som malwaren ringede hjem til.

Det hjalp dem til at opdage endnu flere stykker malware ved at crawle domæner og adresser associeret med ransomware, og de havde nu et datasæt på lidt over 300.000 forskellige ransomware. Nu skulle der snuses bitcoin punge frem.

Bekæmpede automatisering med mere automatisering

Bitcoin er ikke, som mange medier misforstår, anonymt. Alle kan tilgå blockchainen og se samtlige overførsler, der laves. Når det er cyberkriminelles foretrukne kryptovaluta, er det i stedet, fordi der er så mange kæmpeoverførsler på blockchainen, at de kriminelle ikke stikker ud.

Som om det ikke var slemt nok at finde den nål i en høstak på mellem 200.000-350.000 daglige bitcoin-overførsler, så er de fleste bitcoin-punge, som offeret skal betale løsesum til, automatisk genereret til den ene infektion.

Og når pungen modtager løsesummen, sendes den ofte igennem et net af andre punge og såkaldte bitcoin-mixers for at hvidvaske løsesummen.

Det viser sig heldigvis, at bagmændene har enkelte punge, som hele løsesummen ender i, og som bruges til at hæve millioner af dollars. Forskerne overførte derfor et lille beløb til de første kontoer i denne kæde og fulgte, hvordan den ene pung automatisk overførte til den næste osv., indtil summen ikke bevægede sig mere.

Ved at gøre dette flere tusinde gange for hele deres pøl af ransomware er det lykkedes holdet at finde frem til de store bagmænd bag ransomwaren, teaser Burzstein. Men mere vil han ikke røbe før næste blogpost.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (0)

Kommentarer (0)
Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 10:55

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 10:28

Xena - an innovative force in testing next-generation communications technology

22. aug 2017