Туристическое агентство CWT летом 2020 года была вынуждена заплатить хакерам огромную сумму, которая составила 414 BTC. Ровно столько потребовали злоумышленники за то, чтобы компания восстановила доступ к своей базе данных. В ней содержались не только персональные сведения о персонале и клиентах, но и важная финансовая документация.
Мошенники применили вредоносное ПО — Ragnar Locker, которое шифрует данные. За их дешифрацию они и потребовали колоссальный по своему объему выкуп.
Что сделали с деньгами злоумышленники?
Таль Беери, являющийся соучредителем ZenGo (компания по кибербезопасности), написал статью, где сообщил, что мошенники отмывали полученные BTC через криптовалютные торговые площадки.
ZenGo отследили транзакции на криптобиржи. Причем через 1/3 часа после того, как CWT перевела деньги злоумышленникам, они начали распределять полученный выкуп.
Рич Сандерс, являющийся руководителем CipherBlade, компании, специализирующейся на блокчейн-анализе, рассказал, что на биржи хакеры отправили примерно 58% денег. Причем более 1/2 этих средств они завели на Binance. Злоумышленники разделили деньги на небольшие транзакции и постепенно отправляли их на криптобиржу. Прочие средства были распределены между другими торговыми площадками. В их числе, Coinbase, Poloniex, Huobi, а также другие биржи.
Брокерское решение под ключ для вашего бизнеса
Получите самое прибыльное форекс/крипто брокерское программное обеспечение или полностью готовый бизнес в течение 48 часов. Лучшая в своем классе система с веб и мобильным приложением, заточенная на продажи CRM, полная интеграция с МТ4/5 и 150+ платежных провайдеров.
Чем плохи миксеры?
У специалистов возник вполне закономерный вопрос: почему злоумышленники перевели средства на биржи, а не применяли миксеры?
Таль Беери считает, что мошенники не искали лучшего способа отмыть деньги. Они выбрали наиболее простой метод избежания наказания. Очевидно, что он их вполне устраивает.
По мнению Беери, хакеры не применяли миксеры, поскольку хотели решить свою задачу максимально быстро. Чтобы миксер справился с возложенной на него задачей, нужно много юзеров. Если мошенникам необходимо пропустить через миксер огромный объем BTC, им понадобиться значительное число других богатых юзеров, чтобы обеспечить высокую анонимность.
Для микшировния необходимо много криптовалюты с разных сторон. В противном случае это будет не микширование, поскольку большинство BTC в миксере — это ваши деньги. Найти желающих для того, чтобы пропустить через миксер 1,5 миллиона USD не так-то просто.
Эксперт по блокчейну Рич Сандерс говорит, что иногда мошенники отправляют деньги на крупные биржевые площадки. Там они реализовывают тактику, получившую известность под названием «chain-hopping». Мошенники используют биржевые площадки для приобретения небольших сумм нескольких электронных монет, а затем выводят их на аккаунты на других биржах.
Сандерс считает, что злоумышленники частенько используют торговые площадки, не осуществляющие верификацию пользователей, или покупают аккаунты у других пользователей. Специалист уверен, что злоумышленники подготовили такие аккаунты еще до атаки на CWT. Как правило, у вымогателей заранее подготовлен план по отмыванию выплаченного им выкупа.
Chain-hopping делает расследование настоящим кошмаром. Поскольку для решения задачи нужно использовать значительные ресурсы. Хакеры прибегают к такой тактике намерено, чтобы сделать проведение расследования невыгодным для его инициаторов. Сандерс уверен, что такая тактика со стороны мошенников достаточно эффективная. Использование миксера не всегда принесет ожидаемого эффекта.
Как бороться с отмыванием криптоактивов?
На одном из этапов отмывания цифровых денег может быть централизованный сервис. Находящиеся на них средства можно вернуть истинным владельцам, или даже выйти на след мошенников. Для борьбы с отмыванием денег используют следующие методики:
- Если деньги проходят через частично централизованные монеты, в экосистеме которых есть регулятор, то можно заблокировать кошелек мошенника, или даже отменить осуществленную им транзакцию. Подобные возможности есть в сети Ripple, и некоторых стейблкоинах. Заморозить BTC можно только в том случае, если вам удастся убедить в этом большую часть майнеров. Необходимо, чтобы они перестали обрабатывать транзакции с определенного кошелька. Отметим, что в реальности ни одного случая реализации такого способа пока еще не было.
- Компании договариваются о том, чтобы внести некоторые электронные кошельки в перечень подозрительных. Если криптоактивы проходят через централизованные легальные биржевые площадки, готовые сотрудничать в борьбе с отмыванием грязных денег, то полученные с этих адресов криптовалюты могут быть заморожены до завершения расследования.
- Криптобиржи подозрительно относятся к цифровым монетам, которые прошли через миксер. Часто такие деньги блокируются, и от юзера требуют предоставить подтверждение их происхождения.
- Существует возможность отслеживания даже самых запутанных цепочек транзакций и миксеров. Наиболее популярными сервисами, которые позволяют решать подобные задачи являются Chainalysis и Crystal.
- Если злоумышленники пытаются обналичить полученные преступным путем средства через централизованные стейблкоины, их эмитенты способны заблокировать токены или отказать их менять на фиатные валюты. Отметим, что эмитенты стейблкоинов также ведут списки подозрительных адресов. Это мотивирует торговые площадки и прочие сервисы блокировать токены, которые приходят с кошельков из «черного списка». Подобные ситуации уже случались с USDT.
Случай с CWT показывает, что перечисленные выше методы, к сожалению, не всегда бывают эффективными. Поэтому проблема борьбы с отмыванием криптоактивов стоит достаточно остро. Эту проблему еще предстоит решить криптовалютному сообществу ближайшие годы. Поэтому рекомендуем соблюдать по-максимуму меры предосторожности. В случае, если ваши деньги попали к мошенникам, необходимо действовать максимально оперативно и быстро.