Движение криптовалюты с адреса Black Basta
Адрес bc1q77q346n52l0sj46dxfr9sh8xz6nv9uxakexmgq, связанный с хакерской группировкой Black Basta, стал объектом анализа из-за подозрительных транзакций. Мы разобрали схему перемещения средств, показывающую, как злоумышленники используют майнеров для отмывания криптовалюты.
Схема отмывания криптовалюты
Промежуточные адреса. Первым шагом хакеры отправили средства на несколько промежуточных адресов. Такие действия часто служат для усложнения отслеживания средств и сокрытия источника их происхождения.
Перевод на кошельки с неизвестными владельцами. Далее средства поступили на кошелек, владелец которого не установлен. Предположительно на еще один адрес Black Basta. На этом этапе сумма разделилась на две части:
◉ Одну часть отправили на неизвестный адрес (1800 BTC);
◉ Вторую — на криптокошелек майнера (200 BTC).
Рис.1. Начало движения средств
Взаимодействие с майнерами. Мошенники выбирают майнеров как «посредников», зная, что те воспринимаются рынком как надежные участники, а системой, как кошельки с 0% RS.
Рис.2. Первый «грязный» перевод майнеру.
Мы рассмотрим только часть перемещаемых средств. Цель Black Basta довести «грязные» 200 BTC до централизованной биржи, где средства могут быть конвертированы в фиат — привычные деньги.
Почему майнер принимает такие средства? Вопрос остается открытым. Возможно, он не проверяет источник происхождения криптовалюты или намеренно закрывает на это глаза.
Рис.3. Отправка 200 BTC через промежуточные адреса
Последующие переводы. Средства, полученные майнером, разделяются на характерные транзакции и переводятся:
◉ На адреса с высоким уровнем анонимности (владельцы неизвестны);
◉ На другие кошельки майнера или на криптовалютные платформы.
Снижение уровня риска (RS) («Risk Score» — показатель риска) украденной криптовалюты после попадания на адрес майнера. Известно, что все 200 BTC имели 100% RS. Однако визуализация показывает, что Risk Score майнера не вырос и все также остается на нуле.
В блокчейне адреса майнеров нельзя как либо «испачкать», так как они исполняют функцию репродукции экосистемы.
Рис.4. Первые транши на криптобиржу, возможно, отмытых мошенниками средств
Почему схема работает?
◉ Майнеры как доверенные участники: Средства, поступившие на их кошельки, воспринимаются как добытые легально.
◉ Разделение сумм: Деление средств на части снижает вероятность внимания со стороны регуляторов или аналитиков.
◉ Промежуточные адреса: Эти звенья усложняют анализ и увеличивают время, необходимое для отслеживания источника средств.
Мнение аналитика кибербезопасности КоинКит
В последние годы в криптоиндустрии наблюдается увеличение числа способов скрыть следы незаконных операций. Отмывание средств через криптовалюту стало настоящей проблемой для каждого криптопользователя. Один из изощренных методов, который встречается на просторах экосистемы — это использование майнеров как посредников для отмывания «грязной» криптовалюты. Этот способ сложно отслеживать без продвинутых инструментов аналитики. В этом случае майнеры рискуют своей репутацией и могут стать объектом внимания правоохранительных органов. Игнорируя проверки источников поступающих средств, они по ошибке становятся соучастниками преступления.
Механизмы, которые мы считаем безопасными, также могут быть использованы злоумышленниками. Компании и биржи должны усиливать мониторинг и уделять внимание не только RS транзакций, но и происхождению криптовалюты на уровне всей цепочки перевода. Например, встраивая мощные аналитические инструменты как КоинКит, в свои экосистемы.
Рис.5. Так выглядит полная цепочка связей предположительно отмытых 200 BTC
