В 2021 году криптовалюты от кибервымогательства на более чем $400 млн прошли через связанные с Россией адреса. Это около 74% совокупного дохода от вирусов-шифровальщиков, говорится в отчете Chainalysis.
Многие виды вымогательского ПО связаны с российскими киберпреступниками, отметили аналитики. В Chainalysis подчеркнули, что их причастность к России определяют по следующим критериям:
связь с хакерской группировкой Evil Corp, базирующейся в РФ. Ее лидеров подозревают во взаимодействии с российскими властями;избегание атак на компании из стран СНГ;другие признаки, вроде использования русского языка.
Данные: Chainalysis.
Эксперты выяснили, что большая часть полученных от кибервымогательства средств отмывается через сервисы, в основном предназначенные для российских пользователей.
Данные: Chainalysis.
"Россия является домом для нескольких криптовалютных компаний, которые обработали значительный объем транзакций с незаконных адресов", — говорится в отчете.
Аналитики отслеживают несколько десятков криптовалютных фирм, работающих в «Москва-Сити». Более половины из них находятся или находились в башне "Федерация".
В совокупности с 2019 по 2021 год эти компании каждый квартал получали криптовалюту на "сотни миллионов долларов", а общая сумма во втором квартале прошлого года достигла почти $1,2 млрд, подсчитали в Chainalysis. За исследуемый период на их адрес со связанных с высокорисковыми операциями счетов поступило почти $700 млн.
Большую часть нелегальных средств составили доходы от мошенничества ($313 млн) и даркнет-рынков ($296 млн), на третьем месте — вымогательское ПО ($38 млн).
Данные: Chainalysis.
Аналитики подчеркивают, что доля высокорисковых транзакций для некоторых компаний незначительна. Это можно объяснить неосведомленностью, а не целенаправленной преступной деятельностью.
"Но для других криптовалютных компаний в "Москва-Сити" незаконные средства составляют до или более 30% всей полученной криптовалюты, что говорит о том, что они могут намеренно обслуживать клиентов-киберпреступников", — говорят в Chainalysis.
Компания выделила несколько фирм, тем или иным образом связанных с отмыванием средств в период 2019-2021 годов:
Bitzlato. Свыше $966 млн средств, связанных с незаконными или рискованными операциями. Эта сумма составляет почти половину от всех криптовалют, прошедших через компанию. В Chainalysis утверждают, что Bitzlato получила $206 млн от даркнет-маркетплейсов, $224,5 млн — от различных видов мошенничества и $9 млн — от вымогательских группировок. Garantex. Более $645 млн связанных с подозрительными транзакциями средств — 31% от общего объема. По данным Chainalysis, компания получила свыше $10 млн от операторов вирусов-вымогателей, включая NetWalker, Phoenix Cryptolocker и Conti.Eggchange. Более $3,7 млн связанных с нелегальными операциями средств — 11% от общего объема. Сооснователя EggChange Дениса Дубникова подозревают в отмывании денег операторов вымогателя Ryuk.
Также среди подобных фирм Chainalysis отметила Buy-bitcoin, Tetchange, Cashbank и Suex.
Suex в сентябре Минфин США включил в санкционный список. Ведомство утверждает, что через обменник проходили средства операторов программ-вымогателей, скам-проектов, даркнет-маркетплейсов и ныне закрытой биржи BTC-e.
Chainalysis выявила, что Suex среди прочего обработал транзакции с криптовалютной биржи WEX на несколько миллионов долларов. По данным Elliptic, через обменник прошли свыше $370 млн, связанных с киберпреступниками.
В Garantex в комментарии для ForkLog отметили, что пока на рынке только начинают формироваться критерии «токсичных» транзакций, а базы с информацией о них постоянно пополняются:
"Любая криптовалютная биржа, функционирующая более года сталкивается (или же рано или поздно столкнется) с ситуацией, в которой ее давние транзакции по прошествии времени могли оказаться «токсичными». Отчасти это связано с тайной следствия по особо резонансным преступлениям".
Сейчас Garantex пользуется услугами сервиса Crystal, а с конца 2021 года ведет переговоры с Chainalysis, чтобы обеспечить "максимально возможный уровень аналитики" обрабатываемых биржей операций:
"Все входящие транзакции, размеченные Crystal к моменту поступления на Garantex как «ransomware», были своевременно заблокированы в соответствие с применяемыми нами AML-политиками".
Представители биржи подчеркнули, что работают согласно требованиям выданной в Эстонии лицензии и придерживаются "позиции нулевой толерантности" к транзакциям, связанным с незаконной деятельностью.
В Bitzlato информацию о том, что офис компании находится в Москве, назвали ошибочной, а сам сервис является лишь посредником между покупателями и продавцами. Компания также отметила, что активно сотрудничает с правоохранителями - в 2021 году Bitzlato предоставила сведения властям разных стран не менее 200 раз и заблокировала 1157 пользователей по подозрению в отмывании средств:
"Считаем информацию об отнесении Bitzlatо к криптопреступной экосистеме некорректной и ошибочной", - сказали представители компании в комментарии ForkLog.
ForkLog также обратился за комментариями к представителям Bitzlato, Eggchange, Tetchange и Cashbank, но не получил ответа на момент публикации.
Напомним, в январе ФСБ сообщила о ликвидации группировки REvil, стоявшей за распространением вымогательского ПО. Ее называли одним из самых крупных хакерских объединений в мире.
https://forklog.com/pandemiya-vymogatelej-s-chem-svyazana-volna-atak-hakerov-i-kak-ona-otrazitsya-na-bitkoine/