Люди с сокровищами
В криминальном онлайн-мире обеспечивающие анонимность криптовалюты — основное средство платежа. Но в какой-то момент виртуальную добычу нужно превратить во вполне себе реальные деньги. Помогут в этом «люди с сокровищами».
Найти таких несложно, если знаешь, где искать. Нанять их можно на Hydra, крупнейшем по выручке маркетплейсе в даркнете (часть интернета, не видимая поисковым системам и для доступа в которую нужно специальное программное обеспечение). «Они в буквальном смысле оставят пачки наличных, чтобы вы смогли их забрать, — говорит Том Робинсон, главный научный сотрудник и сооснователь Elliptic — группы, которая отслеживает и анализирует транзакции с криптовалютами. — Они закапывают деньги в землю или прячут за кустом, а вам сообщают координаты. Это целая профессия».
Русскоязычная Hydra предлагает множество способов, с помощью которых преступники могут «откэшиться», — например, обменять биткойны на подарочные сертификаты, предоплаченные дебетовые карты или ваучеры для iTunes.
Возможность владеть криптовалютами, не раскрывая себя, делает их привлекательными для преступников, и особенно для хакеров, которые проникают в корпоративные сети и требуют выкуп за их разблокировку. По данным исследовательской компании Chainalysis, в 2020 г. было выплачено не менее $350 млн в виде выкупа бандам хакеров, таким как DarkSide (группировка, которая в мае смогла остановить работу системы нефтепроводов Colonial Pipeline).
Вместе с тем каждая операция с криптовалютой записывается в блокчейн, оставляя след для любого, кто обладает необходимыми технологическими знаниями.
Поэтому появился ряд фирм, занимающихся криптокриминалистикой. Они помогают правоохранительным органам выявлять преступные группировки, отслеживая пути валют. В числе таких фирм — нью-йоркская Chainalysis, которая в начале года привлекла инвестиции в размере $100 млн, что дало ей стоимость в $2 млрд; лондонская Elliptic, которая среди своих инвесторов называет американский банк Wells Fargo; и CipherTrace, которую поддерживает правительство США.
Темные биржи
В общей сложности в 2020 г. незаконные организации получили около $5 млрд и переслали эти деньги другим организациям, по данным Chainalysis: эта сумма — менее 1% всех операций с криптовалютами.
На заре существования криптовалют преступники попросту переводили их в кэш на ведущих криптобиржах. По оценке Elliptic, в 2011–2019 гг. такие биржи помогли перевести в деньги от 60% до 80% всех операций с биткойнами, совершенных известными преступниками. Но к прошлому году многие криптобиржи, опасаясь регуляторов, ужесточили нормы по борьбе с отмыванием денег (AML) и требование «знай своей клиента» (KYC), в результате чего доля таких операций сократилась до 45%.
Это заставило некоторых преступников перейти на нелицензированные биржи, где правило KYC обычно не действует. Многие такие биржи работают в странах с мягким регулированием, где нет договоров о выдаче обвиняемых в преступлениях. Впрочем, по словам Майкла Филлипса, директора по претензиям компании Resilience, занимающейся страхованием от киберрисков, обычно ликвидность на таких биржах низка, что затрудняет перевод криптовалют в обычные. «Необходимо продолжать увеличивать издержки для этой бизнес-модели», — говорит он.
Есть и другие способы. Данные Chainalysis показывают, что проводить одни из крупнейших операций по обналичиванию помогают брокеры, работающие на внебиржевом рынке, причем некоторые такие компании создаются исключительно для этой цели. Небольшие же суммы можно получить более чем в 11 600 криптобанкоматах, которые появились по всему миру и практически никак не регулируются, либо в онлайн-казино, принимающих криптовалюты.
Криптокриминалистика
Фирмы, занимающиеся криптокриминалистикой, используют и технологию, которая анализирует операции в блокчейне, и человеческий интеллект, чтобы понять, какие криптокошельки принадлежат каким криминальным группам, и составить более полную картину преступной экосистемы. Понимание, как в ней перемещаются деньги, помогло исследователям, в частности, пролить свет на то, как хакеры сдают свои программы-вымогатели в аренду различным филиалам, получая в случае успешной операции долю от выкупа.
Кроме того, хакеры все чаще оплачивают криптовалютой услуги, приобретаемые у других преступников, такие как облачный хостинг или учетные данные своих жертв, говорит Кимберли Грауэр, директор по исследованиям Chainalysis. Это позволяет исследователям сформировать более полную картину преступной экосистемы. «В такой бизнес-модели потребность в обналичивании меньше. Поэтому мы можем увидеть, как после уплаты выкупа деньги разделяются и идут к разным игрокам в этой системе», — поясняет Грауэр.
Сбить со следа
Но киберпреступники все активнее используют способы замести следы. Например, чтобы оторваться от преследователей, они могут «перепрыгивать» между разными криптовалютами, зачастую очень быстро, или использовать криптовалюты с повышенной конфиденциальностью, такие как Monero.
Среди самых популярных способов сбить исследователей со следа — использовать сервисы третьей стороны, чтобы смешать грязные и чистые средства перед их распределением. В апреле министерство юстиции США арестовало человека, имеющего гражданство России и Швеции; он обеспечивал работу крупного сервиса по смешиванию криптовалют Bitcoin Fog, через который за последнее десятилетие провел биткойнов на $335 млн.
Наиболее предпочтительным инструментом в 2020 г., через который прошло 12% всех отмытых за тот год биткойнов, были технически очень сложные «частные кошельки» с несколькими встроенными технологиями анонимизации, включая возможность смешивания с чистой криптой, по данным Elliptic. Доминирующий игрок в этой сфере, по словам Робинсона, — проект с открытым кодом Wasabi Wallet.
Что дальше?
Властям «необходимо модернизировать правила заморозки активов и обращения на них взыскания», чтобы облегчить правоохранительным органам изъятие ктриптовалют с бирж, говорит Том Келлерманн, директор по стратегии в области кибербезопасности VMware и член консультативного совета по расследованию киберпреступлений при Секретной службе США.
А биржи могут сотрудничать с криптокриминалистическими фирмами, которые на основании своих данных будут предупреждать их о подозрительных операциях.
Ранее эксперты уже продвигали идею ведения черных списков криптокошельков, о которых известно, что они используются для преступных операций. Для этого биржи, аналитики и государственные органы должны открыто делиться информацией о результатах своих расследований, тогда это могло бы стать аналогом предупреждения, направляемого через Интерпол.
«Возможно, как раз пришло время пересмотреть некоторые из этих инициатив», — говорит Кемба Уолден, помощник главного юрисконсульта подразделения цифровых преступлений в Microsoft.
Перевел Михаил Оверченко