L'oscuro ecosistema dei pagamenti ransomware viene messo a fuoco in una nuova ricerca condotta da Damon McCoy, un assistente professore di informatica e ingegneria presso la NYU Tandon School of Engineering. attacchi ransomware, che crittografano e tengono in ostaggio i file di un utente di computer in cambio di un pagamento, estorcere milioni di dollari da individui ogni mese, e comprendono una delle forme di attacco informatico in più rapida crescita.

In un documento previsto per la presentazione all'IEEE Symposium on Security and Privacy a maggio, McCoy e un team di ricercatori dell'Università della California, San Diego; Università di Princeton; Google; e la società di analisi blockchain Chainalysis forniscono il primo resoconto dettagliato dell'ecosistema di pagamento ransomware, dall'attacco iniziale al prelievo.

I risultati chiave includono la scoperta che i sudcoreani sono colpiti in modo sproporzionato dalle campagne di ransomware, con un'analisi che rivela che $ 2,5 milioni dei $ 16 milioni in pagamenti ransomware tracciati dai ricercatori sono stati pagati in Corea del Sud. Gli autori del documento richiedono ulteriori ricerche per determinare il motivo per cui così tanti sudcoreani sono vittime e come possono essere protetti.

Il team ha anche scoperto che la maggior parte degli operatori di ransomware utilizzava uno scambio di bitcoin russo, BTC-E, per convertire bitcoin in valute legali. (BTC-E è stato sequestrato dall'FBI.) I ricercatori stimano che almeno 20, 000 persone hanno effettuato pagamenti di ransomware negli ultimi due anni, ad un costo confermato di $ 16 milioni, anche se il totale del pagamento effettivo è probabilmente molto più alto.

McCoy e i suoi collaboratori hanno approfittato della natura pubblica della tecnologia blockchain bitcoin per tracciare i pagamenti del riscatto per un periodo di due anni¬. I bitcoin sono la valuta più comune dei pagamenti ransomware, e poiché la maggior parte delle vittime non le possiede, l'acquisto iniziale di bitcoin fornisce un punto di partenza per il monitoraggio dei pagamenti. A ogni vittima del ransomware viene spesso assegnato un indirizzo di pagamento univoco che indirizza a un portafoglio bitcoin in cui viene raccolto il riscatto. Il team di ricerca ha sfruttato i rapporti pubblici sugli attacchi ransomware per identificare questi indirizzi e correlarli con le transazioni blockchain.

Per aumentare il numero di transazioni disponibili per l'analisi, il team ha anche eseguito veri e propri binari ransomware in un ambiente sperimentale controllato, essenzialmente diventando loro stessi vittime ed effettuando micropagamenti su veri e propri portafogli di riscatto per seguire la scia del bitcoin. "Gli operatori ransomware alla fine indirizzano bitcoin a un conto centrale che incassano periodicamente, e iniettando un po' del nostro denaro nel flusso più ampio potremmo identificare quei conti centrali, vedere gli altri pagamenti in arrivo, e iniziare a capire il numero delle vittime e la somma di denaro raccolta, " ha detto McCoy.

Il team di ricerca ha riconosciuto che le questioni etiche impediscono l'esplorazione di alcuni aspetti dell'ecosistema ransomware, compresa la determinazione della percentuale di vittime che effettivamente pagano per recuperare i propri file. McCoy ha spiegato che pur avendo la possibilità di verificare l'attività connessa a uno specifico indirizzo di pagamento, farlo farebbe effettivamente "avviare l'orologio" e potenzialmente indurrebbe le vittime a pagare un doppio riscatto o perdere l'opportunità di recuperare del tutto i propri file.

L'uso criminale delle criptovalute è uno dei focus della ricerca di McCoy. Lui e altri ricercatori hanno precedentemente tracciato i trafficanti di esseri umani attraverso il loro uso della pubblicità Bitcoin.