Den sanna omfattningen av Bitcoin ransomware-utpressning avslöjades

Ransomware är en av de mer oroande typerna av skadlig programvara som har dykt upp de senaste åren. Det fungerar genom att begränsa åtkomsten till datorfiler tills en lösensumma betalas. Offren har inkluderat den brittiska National Health Service, det spanska telekomföretaget Telefonica, den ryska oljejätten Rosneft och många andra.





Offren måste vanligtvis betala en Bitcoin-lösensumma motsvarande några hundra dollar för att släppa sina filer. Vanligtvis ökar lösensumman med tiden fram till en deadline när filerna förmodas förstöras. Många företag och privatpersoner har inte haft något annat val än att betala.

Och det väcker en intressant fråga. Hur mycket pengar har Bitcoin ransomware-program genererat för sina illvilliga mästare?

US-dollarvärde av lösensummor som betalats till CryptoWall Bitcoin-konton



Idag får vi svar tack vare Mauro Contis arbete vid universitetet i Padua i Italien och ett par kollegor. Dessa killar har skapat en databas med Bitcoin-konton som används av ransomware-kriminella och lagt ihop lösensummorna som betalats in till dem. Resultatet är en omfattande analys av de vinster som cyberbrottslingar har gjort inom detta framväxande brottsområde.

Medan ransomware kan begära betalning i form av valuta, fokuserar Conti och co endast på de som ber om Bitcoin-betalningar. Det beror på att Bitcoin-transaktioner är öppet registrerade och gratis att se. Så i princip ska det gå att räkna ut exakt hur mycket varje konto får in. Vårt mål var att noggrant mäta USD-värdet av dessa betalningar, säger Conti och co.

Teamet började med att skapa en databas med Bitcoin-konton associerade med denna typ av aktivitet sedan 2013, då ransomware Cryptolocker blev den första att begära betalning i Bitcoin. Vi hittade tjugo ransomware som uppfyllde våra urvalskriterier, det vill säga de ransomware: (i) som använde Bitcoin som minst ett sätt att betala lösen och (ii) för vilka minst en Bitcoin-adress är allmänt känd, förklarar de.



För varje art av skadlig programvara ger de en användbar översikt över hur den fungerar och sprids och hur den har utvecklats över tiden.

Alla betalningar till dessa konton är inte nödvändigtvis lösensummor. Så Conti och co utvecklade ett sätt att skilja lösenbetalningar från andra typer. De gör detta genom att leta efter betalningar som motsvarar de specifika belopp som skadlig programvara kräver i lösen.

Slutligen lägger Conti och co ihop alla lösensummor som tas emot av varje typ av skadlig programvara. Deras arbete avslöjar den mest lönsamma ransomware men väcker också frågor om hur dessa konton används och hur de kan spåras.



Den överlägset mest lönsamma formen av ransomware visar sig vara CryptoWall, som började infektera Windows-datorer i november 2013. Den krypterade filerna med RSA-2048-krypteringsalgoritmen och krävde sedan en betalning på upp till 1 400 $ för att släppa dem.

Skadlig programvara spreds genom olika vektorer, såsom nedladdningslänkar som skickats av Cutwails skräppostnät. Vissa versioner av skadlig programvara skapade en unik Bitcoin-betalningsadress för varje infekterad användare och använde Tor darknet-systemet för att tillhandahålla anonyma länkar till varje offer.

Mellan lanseringen och december 2015 fick Bitcoin-adresser associerade med denna skadliga programvara 2,2 miljoner USD i Bitcoin-betalningar och ytterligare 2,3 miljoner USD i transaktioner med högre värde, vilket Conti och co misstänker också kan vara lösensumma.



Märkligt nog var det totala värdet av betalningar som mottogs av dessa Bitcoin-adresser över 45 miljoner dollar. De flesta av dessa transaktioner var inte direkt kopplade av Conti och co till lösensummor. Det är en betydande summa pengar och väcker den uppenbara frågan om vad det var betalning för.

Den fullständiga rankningen av Bitcoin ransomware-projekt efter beloppet i US-dollar de genererade är som följer:

Ransomware Bitcoin lösensumma fick USD-värde

CryptoWall 5,351,2329 2,220,909,12

CryptoLocker 1403.7548 449.274.97

DMA Locker 339.4591 178.162.77

WannaCry 47.1743 86.076.76

CryptoDefense 126.6960 63.859.49

NotPetya 4,0576 9,835,86

KeRanger 9999 4 173,12

Intressant nog fick WannaCry-utbrottet enorm mediebevakning när skadlig programvara spreds brett. Men attacken avbröts av cybersäkerhetsforskaren Marcus Hutchins, som upptäckte och aktiverade en inbyggd kill-switch som förhindrade skadlig programvara från att vara mer destruktiv.

Den totala effekten (inklusive ekonomiska förluster) på grund av WannaCry-infektion kunde ha varit värre ... tack vare den tidiga upptäckten av kill-switchen, som förhindrade de infekterade datorerna från att sprida WannaCry vidare, säger Conti och co.

Teamet diskuterar också andra former av skadlig programvara som begärt men som inte verkar ha fått några betydande lösensummor. Dessa inkluderar TeslaCrypt, Hi Buddy! och KillDisk.

Flera andra grupper har gjort liknande analyser och kommit till liknande slutsatser. Men Conte och co gör sin datauppsättning allmänt tillgänglig så att andra kan bygga vidare på den. Datauppsättningen innehåller en detaljerad transaktionshistorik för alla adresser vi identifierat för varje ransomware, säger de.

Cyberkriminella använder Bitcoin eftersom det ger ett till synes anonymt sätt att samla in och göra betalningar. Bitcoin är dock pseudonym snarare än anonym. Det innebär att användare kan skydda sin identitet förutsatt att ingen av deras transaktioner kan kopplas till deras verkliga identitet. Men så fort en enskild transaktion är kopplad till deras personliga identifieringsdata, blir alla deras transaktioner länkade på samma sätt.

En användbar analogi är till författare som publicerar under pseudonym. Så länge författarens identitet aldrig är kopplad till någon av de pseudonyma artiklarna förblir han eller hon anonym. Men om den är länkad till bara en pseudonym artikel så länkas den till dem alla, och då går anonymiteten förlorad.

Så pseudonymt skydd är en bräcklig sak. En enda transaktion som länkar ett Bitcoin-konto till ett personligt konto kan avslöja identiteten på en cyberkriminell. Och personuppgifter läcker hela tiden i webbaserade transaktioner.

Förra året skrev vi om bristerna i anonymiteten för Bitcoin-transaktioner. Det borde ge lite hopp om att spåra dessa brottslingar.

Conti och co har satt den här typen av utredningar som ett framtidsmål. Vi kommer att försöka spåra hur de mottagna lösensummorna användes och av vem, säger de.

Det är modigt och ambitiöst. Men det väcker också en fråga - vad gör brottsbekämpande myndigheter under tiden?

Ref: arxiv.org/abs/1804.01341 : Om den ekonomiska betydelsen av Ransomware-kampanjer: Ett Bitcoin-transaktionsperspektiv

Dölj