В 2021 году криптовалюты от кибервымогательства на более чем $400 млн прошли через связанные с Россией адреса. Это около 74% совокупного дохода от вирусов-шифровальщиков, говорится в отчете Chainalysis.
Многие виды вымогательского ПО связаны с российскими киберпреступниками, отметили аналитики. В Chainalysis подчеркнули, что их причастность к России определяют по следующим критериям:
- связь с хакерской группировкой Evil Corp, базирующейся в РФ. Ее лидеров подозревают во взаимодействии с российскими властями;
- избегание атак на компании из стран СНГ;
- другие признаки, вроде использования русского языка.
Эксперты выяснили, что большая часть полученных от кибервымогательства средств отмывается через сервисы, в основном предназначенные для российских пользователей.
«Россия является домом для нескольких криптовалютных компаний, которые обработали значительный объем транзакций с незаконных адресов», — говорится в отчете.
Аналитики отслеживают несколько десятков криптовалютных фирм, работающих в «Москва-Сити». Более половины из них находятся или находились в башне «Федерация».
В совокупности с 2019 по 2021 год эти компании каждый квартал получали криптовалюту на «сотни миллионов долларов», а общая сумма во втором квартале прошлого года достигла почти $1,2 млрд, подсчитали в Chainalysis. За исследуемый период на их адрес со связанных с высокорисковыми операциями счетов поступило почти $700 млн.
Большую часть нелегальных средств составили доходы от мошенничества ($313 млн) и даркнет-рынков ($296 млн), на третьем месте — вымогательское ПО ($38 млн).
Аналитики подчеркивают, что доля высокорисковых транзакций для некоторых компаний незначительна. Это можно объяснить неосведомленностью, а не целенаправленной преступной деятельностью.
«Но для других криптовалютных компаний в «Москва-Сити» незаконные средства составляют до или более 30% всей полученной криптовалюты, что говорит о том, что они могут намеренно обслуживать клиентов-киберпреступников», — говорят в Chainalysis.
Компания выделила несколько фирм, тем или иным образом связанных с отмыванием средств в период 2019-2021 годов:
- Bitzlato. Свыше $966 млн средств, связанных с незаконными или рискованными операциями. Эта сумма составляет почти половину от всех криптовалют, прошедших через компанию. В Chainalysis утверждают, что Bitzlato получила $206 млн от даркнет-маркетплейсов, $224,5 млн — от различных видов мошенничества и $9 млн — от вымогательских группировок.
- Garantex. Более $645 млн связанных с подозрительными транзакциями средств — 31% от общего объема. По данным Chainalysis, компания получила свыше $10 млн от операторов вирусов-вымогателей, включая NetWalker, Phoenix Cryptolocker и Conti.
- Eggchange. Более $3,7 млн связанных с нелегальными операциями средств — 11% от общего объема. Сооснователя EggChange Дениса Дубникова подозревают в отмывании денег операторов вымогателя Ryuk.
Также среди подобных фирм Chainalysis отметила Buy-bitcoin, Tetchange, Cashbank и Suex.
Suex в сентябре Минфин США включил в санкционный список. Ведомство утверждает, что через обменник проходили средства операторов программ-вымогателей, скам-проектов, даркнет-маркетплейсов и ныне закрытой биржи BTC-e.
Chainalysis выявила, что Suex среди прочего обработал транзакции с криптовалютной биржи WEX на несколько миллионов долларов. По данным Elliptic, через обменник прошли свыше $370 млн, связанных с киберпреступниками.
В Garantex в комментарии для ForkLog отметили, что пока на рынке только начинают формироваться критерии «токсичных» транзакций, а базы с информацией о них постоянно пополняются:
«Любая криптовалютная биржа, функционирующая более года сталкивается (или же рано или поздно столкнется) с ситуацией, в которой ее давние транзакции по прошествии времени могли оказаться «токсичными». Отчасти это связано с тайной следствия по особо резонансным преступлениям».
Сейчас Garantex пользуется услугами сервиса Crystal, а с конца 2021 года ведет переговоры с Chainalysis, чтобы обеспечить «максимально возможный уровень аналитики» обрабатываемых биржей операций:
«Все входящие транзакции, размеченные Crystal к моменту поступления на Garantex как «ransomware», были своевременно заблокированы в соответствие с применяемыми нами AML-политиками».
Представители биржи подчеркнули, что работают согласно требованиям выданной в Эстонии лицензии и придерживаются «позиции нулевой толерантности» к транзакциям, связанным с незаконной деятельностью.
ForkLog также обратился за комментариями к представителям Bitzlato, Eggchange, Tetchange и Cashbank, но не получил ответа на момент публикации.
Напомним, в январе ФСБ сообщила о ликвидации группировки REvil, стоявшей за распространением вымогательского ПО. Ее называли одним из самых крупных хакерских объединений в мире.
Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости, инфографика и мнения.
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER
Источник: forklog.com