В своем недавнем докладе для студентов юридического факультета Фордхемского университета в Нью Йорке специальный агент ФБР Джозеф Батталия (Joseph Battaglia) поделился опытом расследования различных преступлений. В рамках доклада для 150 студентов, организованного при поддержке IBM и университета, Батталиа рассказал, каким образом он находит преступников, использующих вредоносные хакерские программы, требующие выкупа в криптовалюте.

Ключом к решению подобных задач, по мнению Батталии, является сотрудничество между несколькими ключевыми государственным и частными организациями, а также способность мыслить креативно. Во время доклада Батталиа сказал:

«Я могу использовать подобные методы для того, чтобы установить личность подозреваемого даже в том случае, когда все дело началось лишь с жалобы жертвы, имеющей биткоиновый адрес, который еще не был использован в блокчейне».

Как отмечает Батталиа, все начинается с одного пользователя, который открывает свой компьютер и обнаруживает, что получил сообщение о том, что его файлы были заблокированы при помощи «шифрования армейского уровня» и не будут разблокированы, если он не заплатит выкуп. В 75% случаев суммы выкупа обозначены в биткоинах, однако используются и другие криптовалюты, такие как Litecoin и Monero.

Платить или не платить?

После получения подобного сообщения, жертве шантажа необходимо решить: платить вымогателям или нет. Несмотря на то, что ФБР не поощряет выплаты в подобных случаях, Батталиа объясняет, что когда скомпрометированы рабочие документы, у жертвы особо не остается выбора, кроме как поддаться требованиям вымогателей.

Подобные атаки настолько распространены, что в 2016 году фирма Citrix, занимающаяся охраной данных, опубликовала отчет, в котором говорится, что небольшие компании специально покупают и хранят биткоины на случай требований о выкупе. В тот же год Министерство национальной безопасности США финансировало разработку инструмента по анализу биткоинов, направленного на борьбу с такими видами мошенничества.

Но даже если жертва решает не платить выкуп, у ФБР все равно есть способы для выявления личности мошенников, даже при участии неиспользованного биткоинового адреса. Битталиа отметил, что хотя в данном случае и невозможно получить никакую информацию из блокчейна, он может исследовать требование о выкупе в IC3. В 2000 году ФБР создало Центр приёма жалоб на мошенничество в Интернете (IC3), который принимает сообщения, касающиеся кибер-преступлений, включая кражу интеллектуальной собственности, корпоративный шпионаж и онлайн-вымогательства.

В сентябре IC3 опубликовало заявление, призывающее жертв сообщать о вымогательствах в ФБР. В нем говорилось, что в первые несколько месяцев прошлого года «подобные требования были рекордно высоки по всему миру». В 2015 году IC3 получило более 8 000 заявлений, общая сумма требований выкупа которых составляла около 275 миллионов долларов.

Даже если выкуп не был заплачен, Батталиа отмечает, что его команда сравнит требования вымогателей с теми примерами, которые есть в IC3, чтобы найти между ними связь. В похожих случаях при похожих требованиях другая жертва могла решить заплатить выкуп, что могло привести к появлению вспомогательных данных, которые могут быть полезны для расследования.

Адреса, полученные от жертв, заплативших вымогателям, обрабатываются в ФБР при помощи «блокчейнового инструмента», который создает список кошельков, связанных с определенным «субъектом», требовавшим выкуп. В имеющемся первоначальном пуле адресов ФБР ищет связь между кошельком и произведенными с него выплатами.

То же самое, но в другом ключе

При исследовании биткоиновых адресов, имеющихся в базе ФБР, необходимо искать случаи, с которыми работали другие агенты и в которых им удалось собрать дополнительные идентификационные данные, отмечает Батталиа. Например, можно взять дело агента, который работает с «участником рынка в даркнете» и который знает, что средства, относящиеся к определенным адресам, также относятся к кому-то, кто продает пароли для очень популярного протокола удаленного рабочего стола (RDP).

«Таким образом мы можем понять, как происходит шантаж и как вымогатель получает доступ к компьютеру жертвы», - говорит Батталиа. Благодаря подобной информации, агенты затем могут вернуться к жертве и посмотреть, запущен ли RDP на их компьютере и выяснить, какой IP-адрес отображается в логе. При этом ФБР будет обращать внимание не только на адреса, незнакомые жертве, но и известные адреса, которые используются в необычное время. Однако подобные меры вовсе не гарантируют, что получится добыть информацию о вымогателе.

«В этом случае, я просто продолжу искать информацию в блокчейне и попытаюсь найти связь с другими кошельками или адресами», - отмечает Батталиа. Как только получатель платежа будет найден, агенты получат его IP-адрес виртуального сервера с адресом и именем владельца, которые «скорее всего фальшивка», как и ожидают агенты ФБР.

Работа по старинке

На этом этапе в работу агентов включаются «традиционные» техники расследования, такие как проверка адресов в IP-реестрах, чтобы понять, какие соединения были осуществлены через сервер. Но все это напрасно, если нарушитель вошел через защищенную сеть VPN.

Однако существуют и вымогатели, которые стали расслабляться и перестали обращать внимание на детали. Одним из таких примеров можно считать злоумышленников, которые используют для своих операций открытые Wi-Fi точки в общественных местах, надеясь, что большое количество одновременных подключений создаст "дымовую завесу" для сокрытия их личности. Однако, как отмечают в ФБР, выследить их в таком случае вполне возможно.

Сотрудничество

В 2002 году ФБР основало свое кибер-подразделение, которое сейчас работает как над делами, связанными с национальной безопасностью, так и над случаями мошенничества. Для увеличения продуктивности своей работы, подразделение наладило связи с другими государственными организациями, такими как полиция штатов, служба по внутреннему налогообложению, секретная служба и «детективы всех сортов из разных организаций». Помимо этого, подразделение Батталлии тесно работает с частными организациями, которые помогают устанавливать точки доступа, используемые преступниками.

Одним из самых известных партнеров ФБР является Сеть по борьбе с финансовыми преступлениями, которая в 2014 году помогла сделать биткоины более популярными, признав, что их обмен признается денежной операцией и должен считаться таковой.

В будущем, как признается Батталиа, он готов к расследованиям с использованием и других блокчейновых технологий, помимо криптовалют. Как он отмечает, «тот факт, что все данные блокчейна хранятся в открытом реестре и они неизменяемы – отличное подспорье для ФБР с точки зрение сбора улик».

Человеческий фактор

В то время, как ФБР получает свою долю критики за то, что они с трудом расследуют дела, касающиеся случаев вымогательства, блокчейновый стартап Chainalysis в прошлом году прогнозировал, что количество раскрытых дел увеличится благодаря новым высокотехнологичным партнерствам.

При этом начальник Батталии, Джей Крамер (Jay Kramer), присутствовавший на докладе среди зрителей, отметил, что несмотря на возможность подобных партнерств, ФБР все равно будет продолжать совершенствовать свою работу самостоятельно. Он сказал, что считает старые добрые дни, когда доступ к информации можно было получить при помощи прослушки, закончились.