Det skumma ekosystemet med betalningar av ransomware kommer i fokus i ny forskning ledd av Damon McCoy, en biträdande professor i datavetenskap och teknik vid NYU Tandon School of Engineering. Ransomware-attacker, som krypterar och håller en datoranvändares filer som gisslan i utbyte mot betalning, pressa miljontals dollar från individer varje månad, och utgör en av de snabbast växande formerna av cyberattacker.

I en artikel som planeras för presentation vid IEEE Symposium on Security and Privacy i maj, McCoy och ett team inklusive forskare från University of California, San Diego; Princeton Universitet; Google; och blockkedjeanalysföretaget Chainalysis tillhandahåller den första detaljerade redogörelsen för ekosystemet för betalning av ransomware, från initial attack till cash-out.

Nyckelfynd inkluderar upptäckten att sydkoreaner påverkas oproportionerligt mycket av ransomware-kampanjer, med analys som avslöjar att 2,5 miljoner dollar av de 16 miljoner dollar i ransomware-betalningar som spårades av forskarna betalades i Sydkorea. Tidningens författare efterlyser ytterligare forskning för att fastställa orsaken till att så många sydkoreaner utsätts för offer och hur de kan skyddas.

Teamet fann också att de flesta ransomware-operatörer använde en rysk bitcoinbörs, BTC-E, att konvertera bitcoin till fiat-valutor. (BTC-E har sedan dess beslagtagits av FBI.) Forskarna uppskattar att minst 20, 000 individer har betalat ransomware under de senaste två åren, till en bekräftad kostnad av 16 miljoner dollar, även om den faktiska betalningssumman sannolikt är mycket högre.

McCoy och hans medarbetare utnyttjade den offentliga karaktären hos bitcoin blockchain-tekniken för att spåra lösenbetalningar under en tvåårsperiod¬. Bitcoins är den vanligaste valutan för betalningar av ransomware, och eftersom de flesta offer inte äger dem, det första bitcoinköpet ger en startpunkt för att spåra betalningar. Varje ransomware-offer får ofta en unik betalningsadress som leder till en bitcoin-plånbok där lösensumman samlas in. Forskargruppen utnyttjade offentliga rapporter om ransomware-attacker för att identifiera dessa adresser och korrelera dem med blockchain-transaktioner.

För att öka antalet transaktioner som är tillgängliga för analys, teamet körde också riktiga ransomware-binärfiler i en kontrollerad experimentmiljö, i grund och botten själva bli offer och göra mikrobetalningar till riktiga lösenplånböcker för att följa bitcoin-spåret. "Ransomware-operatörer dirigerar i slutändan bitcoin till ett centralt konto som de tar ut regelbundet, och genom att injicera lite av våra egna pengar i det större flödet kunde vi identifiera dessa centrala konton, se de andra betalningarna strömma in, och börja förstå antalet offer och mängden pengar som samlas in, " sa McCoy.

Forskargruppen erkände att etiska frågor förhindrar utforskning av vissa aspekter av ransomware-ekosystemet, inklusive att fastställa andelen offer som faktiskt betalar för att återställa sina filer. McCoy förklarade att trots att han har möjlighet att kontrollera aktivitet kopplad till en specifik betalningsadress, att göra det skulle effektivt "starta klockan" och potentiellt få offren att antingen betala en dubbel lösensumma eller förlora möjligheten att återställa sina filer helt och hållet.

Brottslig användning av kryptovalutor är ett av McCoys forskningsinriktningar. Han och andra forskare har tidigare spårat människohandlare genom deras användning av Bitcoin-reklam.