Криптопрачечная: как вымогатели отмывают криптовалюту

Криптомиксеры, сервисы-матрешки, обналичка и другие способы, которыми операторы ransomware отмывают криптодоходы.

Как отмывают криптовалюту: самые популярные способы

Как известно, криптовалюты — вовсе не анонимны. Поскольку все операции с ними (почти все, но об этом ниже) записываются в блокчейны, движения средств достаточно легко отслеживать. Существуют специализированные аналитические инструменты, которые помогают сравнительно легко и удобно разбираться в том, откуда и куда текут финансовые потоки.

Поэтому у некоторых жертв шифровальщиков-вымогателей может возникнуть иллюзия, что разумно будет заплатить выкуп, восстановить контроль над корпоративными ресурсами, параллельно пожаловавшись в правоохранительные органы — а потом просто немного подождать, пока завершится расследование и деньги вернутся.

К сожалению, все не так просто: для компенсации «излишней» прозрачности блокчейнов появился целый ряд разнообразных инструментов, техник и сервисов, которые позволяют затруднить или вовсе сделать невозможным отслеживание транзакций в криптовалюте. О них мы сегодня и поговорим.

Подставные криптокошельки

Самое простое, что киберпреступники могут сделать с «грязной» криптой — это отправить ее на подставные кошельки. В случае особенно масштабных операций, вроде взлома криптобиржи BitFinex или ограбления Sky Mavis, речь может идти о нескольких тысячах кошельков.

Однако, поскольку все транзакции все равно записываются в блокчейне, переводы на подставные кошельки не спасают от отслеживания средств. Так что этот прием обычно используется лишь на первых стадиях отмывки, чтобы, во-первых, запутать следы, а во-вторых, раздробить крупные суммы на мелкие, которые в дальнейшем будет проще отмывать другими способами.

Нередко грязная крипта может храниться на подставных кошельках достаточно долго. Иногда это происходит из-за жадности киберпреступников — они просто ожидают более выгодного обменного курса. В случае же особенно громких операций, привлекающих пристальное внимание правоохранителей, причиной является осторожность. Злоумышленники пытаются затаиться в надежде, что со временем напряженность ослабнет и вывести средства будет проще.

Криптомиксеры

Криптомиксеры были придуманы как раз для решения проблемы полной прозрачности блокчейна и, как следствие, недостаточной приватности криптовалют.

Работают криптомиксеры следующим образом. Входящий перевод криптовалюты вливается «в единый котел» и тщательно смешивается там со всеми средствами, поступающими от прочих пользователей сервиса. Исходящие же транзакции случайных сумм производятся по случайному расписанию и на совсем другие кошельки. Таким образом, сопоставлять входящие и исходящие транзакции по суммам и выявлять соответствия не получается.

Очевидно, что это крайне эффективный вариант работы с грязной криптовалютой. И хотя далеко не все пользователи криптомиксеров — киберпреступники, криминальные средства составляют весьма существенную часть общего входящего финансового потока криптомиксеров. Настолько существенную, что в 2022 году ими наконец-то вплотную занялись американские регуляторы: под санкции попали сразу два популярных криптомиксера.

Крупные криптобиржи

Подавляющее большинство операций на криптобиржах происходит между внутренними счетами клиентов на этих биржах и подробно записывается исключительно в собственные базы данных этих бирж. А в блокчейн попадает лишь суммарный результат целой кучи таких внутренних операций.

Разумеется, делается это для экономии комиссий и времени (ведь пропускная способность блокчейна не слишком высока). Но в результате получается, что любая криптобиржа — это своего рода естественный криптомиксер: сопоставить входящие и исходящие переводы, пользуясь одним только анализом блокчейна, невозможно. Ниточка, которая позволяет отслеживать движение средств, обрывается при поступлении транзакции на биржу.

С одной стороны, это очень удобно для нелегальной активности. С другой — добавляет и немалые риски: заводя средства на крупную криптобиржу, киберпреступники теряют над ними полный контроль. А поскольку такие биржи, как правило, сотрудничают с регуляторами и правоохранительными органами, есть совсем не нулевая вероятность лишиться добычи. В дополнение к этому, на серьезных криптобиржах всегда есть система проверки (процедура KYC — Know Your Customer), что, конечно же, увеличивает сложность и риски для тех, кто пытается отмывать криптовалюту.

Мелкие криптобиржи

Альтернативный вариант для киберпреступников — использование мелких криптобирж, которые не спешат идти навстречу требованиям властей и позиционируют себя как анонимные. Нередко такие биржи в итоге становятся настоящими криптовалютными отмывочными.

Но чем более популярна такая биржа у киберпреступников, тем больше вероятность того, что она привлечет внимание правоохранительных органов. Чаще всего, в конце концов чаша терпения властей переполняется, и они находят способ тем или иным образом прекратить деятельность такого сервиса. К примеру, в 2023 году в США был арестован владелец биржи Bitzlato, через которую ежегодно проходила грязная криптовалюта на сотни миллионов долларов. И существенную часть этих средств составляли доходы операторов ransomware и разнообразных криптомошенников. Параллельно европейские правоохранители арестовали и вывели из строя инфраструктуру биржи, положив конец ее деятельности.

Финансовые сервисы-матрешки

Помимо полноценных криптобирж существует значительное число сервисов-матрешек. Это, по сути, посредники, которые представляют собой надстройки над криптобиржами. Они дают возможность торговли криптовалютами без открытия аккаунтов непосредственно на самой бирже.

Подобные сервисы немного похожи на брокеров из мира традиционных финансов, только в криптовселенной ими пользуются для того, чтобы добиться приватности, — в частности, избежать прохождения процедуры KYC, которая обязательна для всех клиентов крупных криптобирж. Конечно же, деятельность сервисов-матрешек не сводится исключительно к обслуживанию киберпреступников. Но возможность не отвечать на лишние вопросы естественным образом привлекает желающих отмыть преступные деньги.

DeFi: децентрализованные протоколы

Наконец, еще один вариант отмывки криптовалюты — использование децентрализованных финансовых протоколов (Decentralised Finance — DeFi). На их базе построены автоматизированные децентрализованные криптобиржи, работающие благодаря смарт-контрактам. Плюсы для киберпреступников очевидны: децентрализованные обменники (Decentralised Exchange — DEX) никак не проверяют своих клиентов — для того чтобы пользоваться их услугами, вообще не нужно заводить какой-то специальный аккаунт.

Еще одно достоинство: при использовании DEX средства остаются под полным контролем своих владельцев (конечно, если в смарт-контракте нет ошибки). Правда, есть и важное ограничение: все операции в DEX записываются в блокчейн, поэтому при определенных усилиях их все еще можно отследить. Поэтому, как правило, к DeFi прибегают лишь немногие киберпреступники. Тем не менее использование децентрализованных обменников может быть эффективно в качестве одного из этапов более сложной отмывочной схемы.

Отмывочные сервисы из даркнетов

Если вдруг вы рассчитываете на то, что не каждый вымогатель знает, как правильно заметать финансовый след, то и тут мы вынуждены вас разочаровать. Современная киберпреступность предпочитает специализироваться в определенных отраслях. В последнее время набирает популярность тренд на использование киберпреступниками подпольных сервисов, которые фокусируются именно на отмывке грязной криптовалюты. По сути они представляют собой нечто вроде Laundering-as-a-Service — организуют различные вышеперечисленные схемы, затрудняющие отслеживание движения криптовалюты и таким образом снимают данную задачу с плеч своих клиентов.

Для рекламы своих услуг отмывочные сервисы используют даркнет, а общение с клиентами ведут защищенных мессенджерах — в целом, все заточено под полную анонимность. По консервативным оценкам, оборот подобных сервисов в прошлом году составил 6 миллиардов долларов.

Выход в фиатные деньги aka обналичка

Как мы помним, за криптовалюту можно приобрести очень дорогую нарисованную обезьянку, но батон хлеба купить не получится. Поэтому конечная цель любого киберпреступления с участием криптовалюты — выход в кэш. И одновременно это заключительный этап любой отмывочной схемы: после того как криптовалюта будет превращена в обычные фиатные деньги, отслеживать ее методами анализа блокчейна, очевидно, уже не выйдет.

Вариантов тут множество — часть вышеперечисленных схем позволяет тот или иной способ вывода в реальный мир. Для обналички могут использоваться как крупные, так и мелкие криптобиржи, финансовые сервисы-матрешки, позволяющие торговать на бирже без открытия аккаунта на ней, а также отмывочные из даркнета, которые специализируются на работе с киберпреступниками (без уточнения, каким способом они в реальности будут работать).

Что это значит для жертв ransomware

Как видите, у киберпреступников есть широкий выбор средств для отмывки грязной криптовалюты. И разумеется, им совершенно не обязательно использовать какой-то один из упомянутых способов. Наоборот, большинство преступников использует сложные многоэтапные отмывочные операции, в которых одновременно задействованы и криптомиксеры, и подставные кошельки, и несколько обменников, и различные варианты обналички.

Как результат, несмотря на все старания правоохранительных органов, вернуть большую часть средств зачастую оказывается затруднительно даже в том случае, если расследование было успешным. Поэтому не стоит ожидать, что уплаченные в виде выкупа вымогателям деньги удастся получить назад. От этой угрозы следует защищаться превентивно, и наиболее важная часть этой борьбы — установка на все устройства надежного защитного решения, чья эффективность в противодействии ransomware неоднократно доказана независимыми тестами.

Советы