Het duistere ecosysteem van ransomware-betalingen komt in beeld in nieuw onderzoek onder leiding van Damon McCoy, een assistent-professor informatica en engineering aan de NYU Tandon School of Engineering. Ransomware-aanvallen, die de bestanden van een computergebruiker versleutelen en in gijzeling houden in ruil voor betaling, elke maand miljoenen dollars afpersen van individuen, en vormen een van de snelst groeiende vormen van cyberaanvallen.

In een paper gepland voor presentatie op het IEEE Symposium on Security and Privacy in mei, McCoy en een team met onderzoekers van de Universiteit van Californië, San Diego; Princeton Universiteit; Google; en het blockchain-analysebedrijf Chainalysis bieden het eerste gedetailleerde verslag van het ransomware-betalingsecosysteem, van de eerste aanval tot uitbetaling.

De belangrijkste bevindingen zijn onder meer de ontdekking dat Zuid-Koreanen onevenredig zwaar worden getroffen door ransomwarecampagnes, uit analyse bleek dat $ 2,5 miljoen van de $ 16 miljoen aan ransomware-betalingen die door de onderzoekers werden bijgehouden, in Zuid-Korea werd betaald. De auteurs van het artikel roepen op tot aanvullend onderzoek om de reden te achterhalen waarom zoveel Zuid-Koreanen het slachtoffer zijn en hoe ze kunnen worden beschermd.

Het team ontdekte ook dat de meeste ransomware-operators een Russische bitcoin-uitwisseling gebruikten, BTC-E, om bitcoin om te zetten in fiat-valuta's. (BTC-E is inmiddels in beslag genomen door de FBI.) De onderzoekers schatten dat minstens 20, 000 personen hebben de afgelopen twee jaar ransomwarebetalingen gedaan, tegen een bevestigd bedrag van $ 16 miljoen, hoewel het werkelijke betalingstotaal waarschijnlijk veel hoger is.

McCoy en zijn medewerkers maakten gebruik van het openbare karakter van de bitcoin-blockchaintechnologie om losgeldbetalingen over een periode van twee jaar te traceren. Bitcoins zijn de meest voorkomende valuta voor ransomware-betalingen, en omdat de meeste slachtoffers ze niet bezitten, de eerste bitcoin-aankoop biedt een startpunt voor het volgen van betalingen. Elk slachtoffer van ransomware krijgt vaak een uniek betalingsadres dat doorverwijst naar een bitcoin-portemonnee waar het losgeld wordt verzameld. Het onderzoeksteam tikte op openbare rapporten van ransomware-aanvallen om deze adressen te identificeren en te correleren met blockchain-transacties.

Om het aantal transacties dat beschikbaar is voor analyse te vergroten, het team voerde ook echte ransomware-binaries uit in een gecontroleerde experimentele omgeving, in wezen zelf slachtoffer worden en microbetalingen doen aan echte losgeldportefeuilles om het bitcoin-spoor te volgen. "Ransomware-operators sturen bitcoin uiteindelijk naar een centrale rekening die ze periodiek uitbetalen, en door een klein beetje van ons eigen geld in de grotere stroom te injecteren, konden we die centrale rekeningen identificeren, zie de andere betalingen binnenstromen, en begin het aantal slachtoffers en de hoeveelheid geld die wordt ingezameld te begrijpen, ' zei McCoy.

Het onderzoeksteam erkende dat ethische problemen de verkenning van bepaalde aspecten van het ransomware-ecosysteem in de weg staan, inclusief het bepalen van het percentage slachtoffers dat daadwerkelijk betaalt om hun bestanden te herstellen. McCoy legde uit dat ondanks de mogelijkheid om te controleren op activiteiten die zijn gekoppeld aan een specifiek betalingsadres, dit zou in feite "de klok starten" en mogelijk ertoe leiden dat slachtoffers ofwel dubbel losgeld betalen of de mogelijkheid verliezen om hun bestanden helemaal te herstellen.

Crimineel gebruik van cryptocurrencies is een van de onderzoeksfocussen van McCoy. Hij en collega-onderzoekers volgden eerder mensenhandelaren via hun gebruik van Bitcoin-advertenties.