Raport FinCEN: cum şi ce sume obţinute din ransomware se spală prin tranzacţii în Bitcoin
0Potrivit unui raport efectuat de Financial Crimes Enforcement Network (FinCEN), aparţinând Departamentului de Trezorerie al Statelor Unite, până la 5,2 miliarde de dolari tranzacţionate în Bitcoin pot avea legătură cu plăţi ransomware.
Amer Owaida, Security Writer al ESET, rezumă pe blog raportul FinCEN.
Raportul a analizat, de asemenea, alte rapoartele privind activităţile suspecte (SARs) legate de ransomware, adică rapoartele întocmite de instituţii financiare în legătură cu plăţile suspectate ca reprezentând astfel de răscumpărări, derulate în prima jumătate a acestui an.
„Valoarea totală a activităţii suspecte raportate în SARs-urile legate de ransomware în primele şase luni ale anului 2021 a fost de 590 milioane dolari, ceea ce depăşeşte valoarea raportată pentru 2020 (416 milioane dolari)”, a spus agenţia. Deloc surprinzător, analiza arată că ransomware-ul reprezintă o ameninţare din ce în ce mai mare pentru guvern, companii şi public.
Valoarea medie totală a tranzacţiilor suspectate ca fiind corelate cumva cu ransomware-ul a fost de 66 milioane de dolari lunar. Conform datelor obţinute din aceste tranzacţii, Bitcoin a fost metoda de plată preferată a criminalilor cibernetici. Cu toate acestea, nu este singura, deoarece FinCEN a remarcat că infractorii solicită din ce în ce mai mult plăţi de răscumpărare în Monero, o criptomonedă îmbunătăţită cu anonimat - Anonymity Enhanced Cryptocurrency (AEC).
În total, 17 SAR-uri asociate cu ransomware au implicat cereri de răscumpărare în Monero. În unele cazuri, criminalul cibernetic a furnizat atât o adresă Bitcoin, cât şi o adresă Monero, cu toate acestea, solicitând o taxă suplimentară dacă plata ar fi fost efectuată folosind Bitcoin. În alte cazuri, atacatorii au iniţial taxe de răscumpărare numai în Monero, dar au acceptat Bitcoin după o negociere.
Infractorii cibernetici utilizează diverse tactici de spălare a banilor, inclusiv plăţi în criptomonede care asigură confidenţialitatea, evitând reutilizarea adreselor wallet pentru noi atacuri şi folosind tehnici de spălare separată a veniturilor, după fiecare atac ransomware. Raportul a constatat, de asemenea, că schimburile centralizate străine de coduri Convertible Virtual Currency (CVC) sunt modalitatea preferată de atacatori pentru a-şi încasa câştigurile ilicite.
Pentru a masca provenienţa monedelor digitale, infractorii cibernetici se folosesc, de asemenea, de „chain hopping”, o procedură prin care banii sunt schimbaţi dintr-o criptomonedă în alta cel puţin o dată, înainte de a-şi transfera câştigurile către alte servicii. 2021 a cunoscut, de asemenea, o creştere a utilizării serviciilor de „mixing” - platforme care sunt utilizate pentru a ascunde originea sau proprietarul codului CVC. În mod interesant, FinCEN a observat că utilizarea serviciilor de mixing variază în funcţie de varianta de ransomware folosită.
Câştigurile ilicite din ransomware sunt, de asemenea, spălate prin schimburi şi diverse alte aplicaţii de finanţare descentralizate, prin plăţi convertite în alte forme de CVC-uri. „Unele aplicaţii DeFi permit tranzacţii peer-to-peer automatizate, fără a fi nevoie de un cont sau de o relaţie de custodie. Analiza FinCEN a tranzacţiilor pe blockchain-ul BTC a identificat fonduri legate de ransomware trimise indirect la adrese asociate cu protocoale deschise pentru utilizare pe aplicaţiile DeFi”, a spus FinCEN atunci când a descris procesul.