Para pegar um resgatador: como o FBI persegue o crime no blockchain

O agente especial do FBI Joseph Battaglia está sentado em uma mesa entre um detetive da polícia de Nova York e um funcionário do Internal Revenue Service (IRS).

Encarregados de ajudar a supervisionar investigações no escritório de campo de Nova York da divisão cibernética do FBI, Battaglia e seus colegas desenvolveram métodos para identificar uma ampla gama de atividades criminosas online, desde o uso de pornografia infantil até espionagem.

Mas durante um recente discurso de abertura na faculdade de direito da Fordham University, na cidade de Nova York, Battaglia abriu a cortina de um tipo diferente de investigação. Discursando para um grupo de cerca de 150 estudantes de direito e outros participantes da iniciativa inaugural de blockchain, promovida pela IBM e pela universidade, Battaglia deu um relato passo a passo de como ele identifica os criminosos usando ransomware de Criptomoeda .

A chave para superar uma série de obstáculos neste processo, disse ele, é a colaboração entre algumas organizações públicas e privadas importantes e algum pensamento "fora da caixa".

Falando durante o discurso principal, Battaglia disse ao público:

"Posso usar todos esses métodos para realmente identificar meu alvo quando minha investigação começou com nada mais do que uma reclamação de uma vítima que tinha um endereço de Bitcoin que ainda T havia sido usado no blockchain."

Tudo, detalhou Battaglia, começa com um único usuário abrindo seu computador e descobrindo que recebeu um e-mail informando que seus arquivos foram bloqueados com "criptografia de nível militar" e T serão liberados a menos que paguem um resgate.

Setenta e cinco por cento das vezes o Request de resgate é denominado em Bitcoin, disse ele, mas outras criptomoedas que foram usadas incluem Litecoin e o cada vez mais popularMonero.

Normalmente, a nota de resgate incluirá instruções sobre como comprar e gastar a Criptomoeda escolhida.

Pagar ou não pagar?

Nesse ponto, a vítima tem que decidir se vai pagar ou não.

Embora o FBI T incentive as pessoas a atenderem a tais exigências, Battaglia explicou que os arquivos profissionais às vezes são comprometidos, deixando à vítima pouca escolha a não ser entregar os fundos para poder continuar com negócios cruciais.

Esses ataques são tão generalizados que, em 2016, a empresa de segurança de dados Citrix publicou um relatório mostrando que as pequenas empresas estavamestocagem Bitcoin em caso de um pedido de resgate. No mesmo ano, o Departamento de Segurança Interna dos EUA (DHS)financiado o desenvolvimento de uma ferramenta de análise de Bitcoin voltada especificamente para ransomware.

Mas mesmo que a vítima decida não pagar, o FBI tem maneiras de identificar o escopo do ataque e a identidade do autor, mesmo em um endereço de Bitcoin não utilizado.

"Como o endereço ainda T foi usado no blockchain do Bitcoin ", disse Battaglia, "não haverá nenhuma informação que eu possa obter no blockchain ainda. Mas posso pegar a nota de resgate e conectá-la ao IC3."

Fundado em 2000, o Internet Crime Complaint Center (IC3) do FBI aceita denúncias de supostos crimes cibernéticos, incluindo roubo de propriedade intelectual, espionagem corporativa e “extorsão online” ou ransomware.

Em setembro, o IC3 publicou umadeclaraçãoincentivando as vítimas a relatar incidentes de ransomware ao FBI, acrescentando que, nos primeiros meses do ano passado, "as infecções globais por ransomware atingiram o nível mais alto de todos os tempos".

IC3recebidomais de 8.000 reclamações em 2015, com uma perda total relatada de cerca de US$ 275 milhões.

Mesmo que um resgate T seja pago, Battaglia indicou que sua equipe irá comparar o pedido de resgate com aqueles arquivados no IC3 para procurar conexões. Em casos semelhantes com pedidos semelhantes, algumas vítimas podem ter decidido pagar o resgate, resultando em dados possivelmente úteis para os casos em que o resgate não foi pago.

Endereços de vítimas que pagaram são então processados pela "ferramenta blockchain" do FBI para gerar uma lista de carteiras associadas à mesma "entidade" que emitiu a demanda de resgate. Do conjunto inicial de endereços que pagaram, o FBI então procura conexões entre a carteira do destinatário e seus gastos.

Embora os dados iniciais possam ser limitados, à medida que mais fundos são gastos, a ferramenta acumula mais dados, incluindo de 'mudar endereços' que devolvem satoshis ou outras denominações para a carteira do destinatário original.

"Eu posso descobrir que essas transações ocorrem dentro de outro cluster de endereços Bitcoin sobre os quais eu T sei nada", disse Battaglia, "e minha ferramenta de análise T sabe nada sobre eles. Mas eu posso pegar esses endereços, retirá-los, conectá-los ao nosso sistema de gerenciamento de casos."

O mesmo mas diferente

Ao analisar o conjunto de endereços de Bitcoin pelo sistema de gerenciamento de casos do FBI, Battaglia disse que procurará casos que estejam sendo trabalhados por outros agentes que tenham coletado informações identificáveis ​​adicionais.

Por exemplo, pode ser um agente do FBI que está trabalhando com um "cooperador em um mercado darknet" e que sabe que os fundos associados aos endereços também estão associados a alguém que vendeextremamente popularcredenciais do protocolo de área de trabalho remota (RDP) para acessar computadores de terceiros de qualquer lugar do mundo.

"Então agora temos uma ideia do que está acontecendo com o ransomware e talvez como o intruso entrou nos computadores das vítimas", disse Battaglia.

Com essas informações, os investigadores do FBI retornariam à vítima original para verificar se um RDP estava sendo executado em seu computador e, em caso afirmativo, quais endereços IP aparecem nos registros do computador.

O FBI procurará não apenas endereços desconhecidos da vítima, mas também endereços conhecidos que estejam sendo acessados ​​por usuários que normalmente T fazem login ou que estão fazendo login em horários incomuns.

Embora essas informações possam inicialmente dar à vítima uma maneira de minimizar novos ataques alterando suas credenciais de login, elas T necessariamente fornecerão muito mais informações sobre o perpetrador. "Então, continuarei a procurar no blockchain e tentarei encontrar conexões com outras carteiras ou grupos de endereços", disse ele.

Battaglia provavelmente começaria a procurar conexões ao longo do tempo, como um pagamento mensal feito de um dos endereços suspeitos de Bitcoin para uma bolsa de Bitcoin nos EUA, na qual ele poderia entregar uma intimação para Aprenda o que as transações estavam pagando.

Uma vez que o destinatário do pagamento é identificado, o investigador terá um endereço IP de um servidor virtual com um nome e endereço "que provavelmente é falso", ele disse. "Espero que seja falso."

A agitação

Nesse ponto, a investigação se torna algo ultrapassado.

Battaglia disse que implementaria em seguida técnicas investigativas "tradicionais", como referências cruzadas de endereços em um registro de IP, como o Registro Americano de Números da Internet (ARIN) ou o Banco de Dados Global de Endereços IP, para tentar identificar quais conexões estão sendo feitas ao servidor.

Mas tudo isso é em vão se o criminoso tiver efetuado login com sucesso em uma rede privada virtual (VPN) de proteção de identidade.

No ano passado, a Globalwebindexrelatado que um em cada quatro usuários acessava uma VPN diariamente, com 70% dos entrevistados acessando semanalmente. Nos EUA, Índia e Malásia, os números são ainda maiores, chegando a um em cada três usuários acessando uma VPN que obscurece a identidade diariamente.

Também preocupam os combatentes do crimecada vez mais sofisticado misturadores de Bitcoin que obscurecem as fontes de Bitcoin e estavam na semana passada reprimida emem uma iniciativa conjunta entre a Europol, a Interpol e o Instituto de Governança de Basileia. Os desenvolvimentos em tecnologias de Criptomoeda também são um problema; por exemplo, Monero, uma altcoin que melhora a privacidade queT precisa ser misturadoser obscurecido.

"Mas as pessoas ficam desleixadas", disse Battaglia.

As evidências de um resgatador que parou de prestar atenção aos detalhes podem incluir a conexão à Internet por meio de pontos de acesso Wi-Fi públicos, contando com o grande volume de pessoas no local para fornecer uma cortina de fumaça para ocultar sua identidade.

O agente especial disse:

"Por meio dos pesquisadores que temos no departamento, podemos então analisar todos esses dados, analisar os bancos de dados... e rastrear assuntos muito semelhantes aos que acabei de descrever."

Além do FBI, além do Bitcoin

Fundada na sede do FBI em 2002, a divisão cibernética agora divide seu trabalho quase igualmente entre casos de segurança nacional e casos criminais, de acordo com Battaglia.

Para aumentar ainda mais sua probabilidade de sucesso, a organização é composta por esquadrões espalhados pelos EUA e tem parcerias com outras agências, incluindo a polícia estadual, a Receita Federal, o serviço Secret e "detetives de todos os tipos de agências policiais", explicou ele.

Battaglia também mencionou parcerias com membros do setor privado, que ajudam a identificar pontos de acesso usados por criminosos; "cooperativas" que tiveram problemas no passado e depois se juntaram às investigações como "pesquisadores independentes"; e assessores jurídicos ao redor do mundo.

Um dos parceiros mais importantes do FBI é a Financial Crimes Enforcement Network, que em 2014 ajudou a tornar o Bitcoin mais popular quando declarado As bolsas de Bitcoin são legalmente consideradas transmissoras de dinheiro e precisam ser licenciadas como tal.

No futuro, no entanto, Battaglia disse que está preparado para investigações sobre aplicações da Tecnologia blockchain além das Criptomoeda.

Enquanto a Tecnologia para suportar uma ampla gama de ativos possíveisinclui considerações que permitem que seja "auditado e inspecionado adequadamente", Battaglia disse que "o fato de tudo ser registrado em um livro-razão público que é permanente e não modificável é muito bom da perspectiva de coleta de evidências".

O fator Human

Embora o FBI tenha recebido a sua quota decríticapor terdificuldaderesolvendo casos de ransomware, startup de análise de blockchain Chainalysis no ano passado previstoum aumento nas prisões devido a novas parcerias de alta tecnologia.

Mas é na intersecção entre ferramentas de alta tecnologia e investigação à moda antiga que o chefe de Battaglia, o agente especial supervisor Jay Kramer, acha que o FBI tem que continuar a melhorar.

Falando da plateia do evento, Kramer disse que o FBI reconhece que os velhos tempos de obter "acesso ao conteúdo" por meio de grampos telefônicos acabaram.

"Reconhecemos que não teremos acesso a comunicações criptografadas em iPhones, simplesmente não teremos", disse Kramer. "Então o que estamos fazendo? Vamos apenas esperar por uma solução tecnológica? Não."

Kramer salientou que o FBI deve redobrar os seus esforços para desenvolverHuman recursos:

"Pessoas que querem relatar ao FBI as coisas que eles têm a oferecer. O co-conspirador de um ator ruim que vai apenas nos dar aquela chave privada, em vez de tentarmos alguns meios tecnológicos para obter a chave privada."

Imagens via autor para CoinDesk