El turbio ecosistema de los pagos de ransomware se centra en una nueva investigación dirigida por Damon McCoy, profesor asistente de ciencias de la computación e ingeniería en la NYU Tandon School of Engineering. Ataques de ransomware, que cifran y mantienen como rehenes los archivos de un usuario de la computadora a cambio de un pago, extorsionar millones de dólares a individuos cada mes, y constituyen una de las formas de ciberataque de más rápido crecimiento.

En un documento que se presentará en el Simposio sobre seguridad y privacidad de IEEE en mayo, McCoy y un equipo que incluye investigadores de la Universidad de California, San Diego; Universidad de Princeton; Google; y la firma de análisis de blockchain Chainalysis proporcionan la primera cuenta detallada del ecosistema de pago de ransomware, desde el ataque inicial hasta el retiro de efectivo.

Los hallazgos clave incluyen el descubrimiento de que los surcoreanos se ven afectados de manera desproporcionada por las campañas de ransomware, con un análisis que revela que $ 2.5 millones de los $ 16 millones en pagos de ransomware rastreados por los investigadores se pagaron en Corea del Sur. Los autores del artículo piden una investigación adicional para determinar la razón por la que tantos surcoreanos son victimizados y cómo se les puede proteger.

El equipo también descubrió que la mayoría de los operadores de ransomware usaban un intercambio de bitcoins ruso, BTC-E, para convertir bitcoins a monedas fiduciarias. (BTC-E ha sido incautado desde entonces por el FBI). Los investigadores estiman que al menos 20, 000 personas realizaron pagos de ransomware durante los últimos dos años, a un costo confirmado de $ 16 millones, aunque el total del pago real probablemente sea mucho mayor.

McCoy y sus colaboradores aprovecharon la naturaleza pública de la tecnología blockchain de bitcoin para rastrear los pagos de rescate durante un período de dos años. Los bitcoins son la moneda más común de los pagos de ransomware, y debido a que la mayoría de las víctimas no las poseen, la compra inicial de bitcoins proporciona un punto de partida para realizar un seguimiento de los pagos. A cada víctima de ransomware a menudo se le da una dirección de pago única que dirige a una billetera bitcoin donde se recolecta el rescate. El equipo de investigación aprovechó los informes públicos de ataques de ransomware para identificar estas direcciones y correlacionarlas con las transacciones de blockchain.

Para aumentar el número de transacciones disponibles para análisis, el equipo también ejecutó binarios de ransomware reales en un entorno experimental controlado, esencialmente convirtiéndose en víctimas ellos mismos y haciendo micropagos a carteras de rescate reales para seguir el rastro de bitcoin. "Los operadores de ransomware finalmente dirigen bitcoin a una cuenta central que cobran periódicamente, y al inyectar un poco de nuestro propio dinero en el flujo más grande, podríamos identificar esas cuentas centrales, ver los otros pagos fluyendo, y comenzar a comprender el número de víctimas y la cantidad de dinero que se recauda, "Dijo McCoy.

El equipo de investigación reconoció que las cuestiones éticas impiden la exploración de ciertos aspectos del ecosistema de ransomware, incluida la determinación del porcentaje de víctimas que realmente pagan para recuperar sus archivos. McCoy explicó que, a pesar de tener la capacidad de verificar la actividad relacionada con una dirección de pago específica, si lo hiciera, efectivamente "pondría en marcha el reloj" y podría causar que las víctimas paguen un doble rescate o pierdan la oportunidad de recuperar sus archivos por completo.

El uso criminal de las criptomonedas es uno de los focos de investigación de McCoy. Él y otros investigadores rastrearon previamente a los traficantes de personas mediante el uso de publicidad de Bitcoin.