Перевод статьи Роберта Стивенса для Decrypt.
Американская туристическая компания CWT 28 июля заплатила хакерам 414 биткоинов, чтобы восстановить доступ к своим файлам, которые включали данные о сотрудниках и финансовые документы. Злоумышленники использовали программу-вымогатель под названием Ragnar Locker, который шифрует данные на компьютерах и требует выкуп за дешифрование файлов.
Таль Беери, соучредитель израильской компании по кибербезопасности ZenGo, 4 августа опубликовал статью, в которой говорится о том, что хакеры пытались отмыть полученные биткоины через несколько криптовалютных бирж.
Беери и команда ZenGo отследили переводы на криптовалютные биржи. Спустя всего 20 минут после того, как CWT заплатила выкуп, хакеры начали распределять средства.
Рич Сандерс, генеральный директор американской компании по блокчейн-анализу CipherBlade, в комментарии для Decrypt сказал, что на биржи было отправлено около 58% средств.
Более половины этих средств ушло на Binance. Хакеры разделили средства на небольшие платежи и периодически отправляли их на биржу. Остальные средства были отправлены на Huobi, poloniex, Coinbase и несколько других бирж.
Почему хакеры не использовали миксеры?
Так почему же хакеры перевели деньги на крупные криптовалютные биржи, а не использовали биткоин-миксеры?
«Злоумышленники не ищут лучшего пути. Они ищут самый простой способ, который поможет избежать наказания, и, судя по всему, этот метод им подходит», ― сказал Беери.
По его словам, причина, по которой они не использовали миксеры, ― это время. Чтобы миксер хорошо выполнял свою функцию, нужно много людей. И если хакерам нужно пропустить через миксер миллионы долларов в биткоинах, то понадобится множество других «богатых» пользователей для обеспечения высокого уровня анонимности.
«Проще говоря, для микширования вам нужно иметь много денег от нескольких сторон, иначе это не микширование, так как большая часть биткоинов в миксере ― это ваши же деньги. Не так много людей захотят быстро пропустить через миксер $1.5 млн», ― объяснил Беери.
Рич Сандерс, эксперт по блокчейн-анализу, сказал, что иногда хакеры отправляют средства на крупные биржи, чтобы реализовать тактику, известную как chain-hopping. Хакеры используют биржи для покупки небольших сумм нескольких криптовалют и отправляют их на разные аккаунты других криптобирж.
По словам Сандерса, хакеры часто используют биржи, которые не проводят верификацию клиентов, или используют имена людей, которым они «предложили деньги за регистрацию аккаунта на бирже». Он считает, что хакеры подготовили такие аккаунты перед атакой на компанию: «У тех, кто разрабатывает программы-вымогатели, уже есть план по отмыванию полученных биткоинов».
«Для каждой [группы транзакций] это… четыре или пять повесток. Сhain-hopping превращает расследование в кошмар, так как это требует значительных ресурсов; они делают это намеренно ― так “игра не стоит свеч”», ― добавил Сандерс. «Это более разумный ход. Я считаю, что просто отправлять биткоины в миксер ― это безрассудно и глупо, так как они не всегда неуязвимы».