Текст книги "Цифровая революция. Преимущества и риски. Искусственный интеллект и интернет всего"

Криптовалюты все чаще используются для отмывания доходов от незаконного оборота наркотиков. В последние годы правоохранительные органы ЕС провели несколько расследований по факту отмывания доходов от незаконного оборота наркотиков с использованием криптовалют. В таких крупномасштабных операциях обычно участвуют специализированные преступные сети, которые предоставляют профессиональные услуги по отмыванию криптовалюты.

Киберпреступники широко используют криптовалюты, которые должны быть отмыты, инвестированы или обналичены. Доходы от киберпреступности обычно не требуют конвертации, поскольку они часто уже находятся в криптовалютах. Киберпреступники широко используют методы и услуги по анонимизации, чтобы препятствовать отслеживанию транзакций.

Комплексное расследование с участием 20 стран привело к ликвидации преступной сети, занимавшейся отмыванием украденных средств на десятки миллионов евро и рекламировавшей свои услуги на онлайн-форумах. В обмен на комиссию за транзакцию (до 50 % от суммы транзакции) сеть открывала и обслуживала сотни корпоративных и личных банковских счетов по всему миру для приема и перевода денег от киберпреступников, укравших их со счетов жертв. Затем отмытые средства возвращались их клиентам-киберпреступникам.

Криптовалюты также используются для отправки платежей поставщикам или для приема платежей за покупку незаконных товаров в Интернете. Использование криптовалюты в качестве способа оплаты для незаконной деятельности, хотя и ограниченное по сравнению с глобальным незаконным финансированием, осуществляемым в фиатной валюте, растет. Покупка незаконных товаров и услуг касается в основном онлайн-торговли, особенно на торговых площадках даркнета. Криптовалюты в том числе используются для получения платежей от жертв программ-вымогателей, а также для оплаты нематериальных товаров и услуг, включая материалы о сексуальном насилии над детьми (CSAM).

Криптовалюты были стандартным платежным средством для пользователей теневых веб-платформ с момента появления первого крупного рынка в 2011 году, Silk Road. Объем транзакций на 2020 год, связанных с темным веб-рынком, оценивается в 1,5 млрд евро (1,7 млрд долларов). Необходимость для преступников использовать свои незаконные прибыли и преодолевать прослеживаемость криптовалют через журналы в публичных реестрах популяризировала использование методов анонимизации.

Как и компании, каждая торговая площадка даркнета принимает определенные монеты. Несмотря на распространение альткойнов, биткойн остается преобладающей монетой, принимаемой на торговых площадках даркнета. Тем не менее, ряд торговых площадок также принимают альткойны, особенно Monero и эфириум.

Хотя общую стоимость криптовалют, используемых для торговли незаконными товарами и услугами на торговых площадках даркнета, трудно оценить, анализ криптовалютных транзакций на крупнейшей активной торговой площадке (Hydra) может дать подсказку. С момента своего создания в 2015 году русскоязычная торговая площадка стала очень популярной среди преступников и в основном известна тем, что предлагает большое количество наркотиков через широкий круг продавцов, а также другие запрещенные товары и услуги. Его надежность и безопасность позволили рынку процветать на протяжении многих лет, достигнув годового дохода более 1,18 млрд евро (1,33 млрд долларов) в 2020 году. По оценкам, на Hydra приходится около 75 % доходов рынка даркнета во всем мире.

Анализ блокчейна, проведенный Европолом, позволил установить личность и арестовать человека, нанявшего киллера. Подозреваемый перевел сумму, эквивалентную 10 000 евро в биткойнах, наемному убийце, завербованному на специализированном сайте, для убийства его бывшей девушки.

Эволюция программ-вымогателей как прибыльного криминального бизнеса была тесно связана с ростом цен биткойнов и других криптовалют. Программа-вымогатель состоит из развертывания вредоносного ПО, которое шифрует компьютерные системы и/или данные с последующим требованием выкупа в обмен на ключ дешифрования. Все большее число случаев связано также с эксфильтрацией и сохранением данных, используемых для шантажа жертв (часто называемых двойным вымогательством). Страх раскрытия конфиденциальных данных, репутационного ущерба и возможных санкций побуждает предприятия и частных лиц платить выкуп и избегать огласки, что делает этот процесс вымогательства чрезвычайно прибыльным. По мере того, как атаки становятся все более целенаправленными и изощренными, средняя сумма требуемого выкупа продолжает расти. Кроме того, требуемый выкуп корректируется с учетом того, что преступники ожидают от жертв.

Почти все платежи за ключи дешифрования осуществляются в криптовалютах, обычно в биткойнах. Традиционно жертву просят заплатить выкуп в биткойнах, чтобы расшифровать ее систему. Положительная реакция на это требование влечет за собой вывод из финансового учреждения фиатной валюты на покупку запрашиваемой криптовалюты. Затем сумма переводится на адрес кошелька, предоставленного субъектом преступления.

Хакеры, стоящие за вымогателем WannaCry в 2017 году, начали снимать деньги с трех биткойн-кошельков, связанных с их преступной деятельностью, только через три месяца после атак. Затем они отправили средства на биржу Shapeshift.io, чтобы конвертировать биткойны в Monero и не дать отследить их.

Монетизация материалов о сексуальном насилии над детьми (CSAM) представляет собой растущую угрозу. Оценка годового дохода сайтов CSAM показывает, что он увеличился более чем в три раза в период 2017–2020 гг. Хотя на торговлю CSAM приходится очень ограниченная часть объема средств, переводимых в связи с незаконной деятельностью, она представляет собой высокую опасность из-за его потенциального воздействия.

CSAM в основном коммерциализируется через специализированные торговые площадки и форумы в даркнете. Почти все основные торговые площадки даркнета прямо запрещают его продажу. Большинство транзакций используют криптовалюты в качестве платежного средства.

В Обзоре отмечается, что, как и в случае с большинством технологических инноваций, криптовалюты изначально использовались киберпреступниками не по назначению. Вначале киберпреступники чувствовали себя в безопасности, просто обрабатывая свои незаконные транзакции в биткойнах. Вскоре стало ясно, что биткойн далеко не анонимный и неотслеживаемый, когда анализ блокчейна привел к нескольким успешным расследованиям правоохранительных органов. Следовательно, преступное использование криптовалюты должно быть связано с использованием услуг, повышающих анонимность.

Наиболее важные дела связаны с отмыванием преступных доходов. Развитие специализированных сервисов по отмыванию криптовалютных денег неизбежно снизило планку необходимых технических знаний, способствуя широкому использованию этих сервисов многими преступными субъектами и сетями.

Криптовалюта остается привлекательной для преступников, в первую очередь из-за ее псевдоанонимного характера, а также простоты и скорости, с которой средства могут быть отправлены в любую точку мира. Тем не менее, использование криптовалют для незаконной деятельности, по-видимому, составляет лишь небольшую часть общей криптовалютной экономики и относительно меньшие суммы незаконных средств, вовлеченных в традиционные финансы.

Сторонники и противники криптовалюты с одинаковой интенсивностью атакуют информационное пространство. Одни считают криптовалюту светлым будущим мировой финансовой системы. Другие все больше очерчивают ее криминальную сущность. Если доводы первых понятны довольно узкому, «продвинутому» кругу лиц, то аргументы других в геометрической прогрессии растут у правоохранительных органов и надзорных финансовых структур.

Каким бы путем не пошли законодатели России, они, в первую очередь, должны оградить общество и государство от преступных последствий оборота криптовалюты.

4.3. Криптопреступность

С 1 января 2021 года в России вступил в силу закон о цифровых финансовых активах и цифровой валюте. Многие экономисты и финансисты видят в новых финансовых технологиях и инструментах светлое будущее, а международные правоохранительные структуры весьма осторожны с такими оценками.

Интерпол, Европол, FATF (международная группа разработки финансовых мер борьбы с отмыванием денег) в своих документах последних лет постоянно акцентируют внимание на крайне опасных тенденциях использования криптовалют, технологии блокчейн (цепочка блоков – данные о транзакциях, сделках и контрактах внутри системы, представленные в криптографической форме) транснациональными преступными организациями, группами мошенников, хакеров и террористическими формированиями.

Фактически, можно констатировать, что криптопреступность стала неотъемлемым элементом современной мафиозной деятельности и финансирования терроризма.

Обратимся к новейшему документу международной компании Chainalysis «Отчет о преступлениях в сфере криптовалют за 2021 год. Все, что вам нужно знать о программах-вымогателях, рынках даркнета и многом другом, февраль 2021 года».

Из отчёта следует, что криптовалюта остается привлекательной для преступников, в первую очередь, из-за своего псевдоанонимного характера и легкости, с которой она позволяет пользователям мгновенно отправлять средства в любую точку мира, несмотря на прозрачный и отслеживаемый дизайн.

В 2019 году незаконная деятельность составила 2,1 % от всего объема транзакций с криптовалютой, или переводы примерно на сумму $21,4 млрд. В 2020 году доля незаконных операций с криптовалютой упала всего до 0,34 %, или $10,0 млрд США в объеме транзакций. Одна из причин снижения процента незаконной деятельности заключается в том, что общая легальная экономическая активность почти утроилась в период с 2019 по 2020 год.

Как и в 2019 году, мошенничество в 2020 году составило большую часть всех преступлений, связанных с криптовалютой, то есть 54 % от всей незаконной деятельности, что составляет примерно $2,6 млрд.

Самая большая категория преступлений с использованием криптовалюты в 2020 году – это программы-вымогатели. Это может показаться нелогичным, поскольку на вымогатели приходилось всего 7 % средств, полученных на криминальные адреса. Потери составили сумму чуть менее $350 млн в криптовалюте. Но данная цифра на 311 % больше, чем в 2019 году. Никакая другая категория преступлений, связанных с криптовалютой, не выросла так резко в 2020 году, поскольку меры, связанные с удаленной работой в результате пандемии Covid-19, открыли новые уязвимости для многих организаций.

Надо иметь в виду, что оценки мошенничества от программ-вымогателей всегда следует рассматривать как нижнюю границу данных. Общий объем выплат программам-вымогателям в 2020 году, вероятно, будет расти, поскольку будет выявлено больше адресов, связанных с различными их видами, особенно в последние месяцы года. Помимо цифр, также необходимо отметить, что программы-вымогатели обладают уникальной разрушительной способностью, поскольку атаки могут наносить вред органам власти и предприятиям в течение, например, нескольких недель, как это происходило в отношении ряда госпиталей в 2020 году в разгар пандемии. Если учесть общие экономические потери еще и от того, что эти госпитали оказались отключены в результате атак от сети аптек, то программа-вымогатель принесла убытки в $20 млрд в 2020 году.

Отмывание денег – это ключ к преступлениям с использованием криптовалюты. Основные цели от мывания денег в том, что киберпреступники, крадущие криптовалюту или принимающие ее в качестве оплаты незаконных товаров, должны скрыть источник своих средств и конвертировать криптовалюту в наличные, чтобы затем тратить их или хранить в банке. Конечно, благодаря усилиям правоохранительных органов и специалистов по комплаенсу по всему миру, киберпреступники не могут обменять свою, незаконно полученную, криптовалюту на фиатную и обналичить как обычный пользователь. Вместо этого они полагаются на небольшую группу поставщиков услуг по отмыванию своих криптоактивов. Правоохранительные органы могут существенно помешать киберпреступникам конвертировать криптовалюту в наличные, преследуя поставщиков услуг по отмыванию денег, тем самым сокращая стимулы для киберпреступников, в первую очередь использующих криптовалюту.

Исторически сложилось так, что основным направлением незаконной криптовалютной деятельности были крупные биржи, и это не изменилось в 2020 году. Фактически, доля всей незаконной криптовалюты, полученной биржами, немного выросла в 2020 году.

Кроме того, значительный объем трафика перемещается с незаконных адресов на услуги, которые относятся к категории «Рискованные», включая биржи с высоким риском, игровые платформы и сервисы со штаб-квартирами в юрисдикциях с высоким уровнем риска. Интересные тенденции возникают, если посмотреть на конкретные рискованные сервисы, получающие средства от различных видов преступлений, связанных с криптовалютой. Наиболее популярные категории рискованных услуг по отмыванию денег аналогичны для каждого преступления. Это относится ко всем категориям, за исключением мошенничества. Мошенники гораздо чаще, чем другие киберпреступники, переводят средства на игровые платформы – тенденция, которая началась в 2020 году.

Интересные тенденции можно заметить, если посмотреть на отмывание денег через географическую призму. Основываясь на разбивке местоположений сервисов, получающих незаконную криптовалюту, наибольший объем криптовалюты с незаконных адресов получают следующие страны:

– Соединенные Штаты;

– Россия;

– Китай;

– Южная Африка;

– Объединенное Королевство;

– Украина;

– Южная Корея;

– Вьетнам;

– Индия;

– Франция.

Однако если посмотреть на географическое распределение средств по преступлениям, то первая выделяющаяся тенденция – это получение Россией непропорционально большой доли фондов рынкаDarkNet, в основном за счет Hydra. Hydra является крупнейшим в мире рынком DarkNet по размеру выручки и обслуживает исключительно Россию и русскоязычные страны Восточной Европы. Китай также выделяется тем, что получает непропорционально большую долю средств, отправляемых с адресов, связанных с украденными средствами и программами-вымогателями. Отчасти это может происходить из-за кражи криптовалюты и деятельности вымогателей, связанных с Lazarus Group (киберпреступный синдикат, ориентированный на Северную Корею). В 2020 году были выявлены два гражданина Китая, которые работали с представителями Lazarus Group над отмыванием криптовалюты, украденной ими на биржах. Наконец, Соединенные Штаты представлены, хотя и в меньшей степени, в части средств, полученных с адресов, которые связаны с мошенничеством и украденными средствами.

В 2020 году количество программ-вымогателей резко возросло, но виновников может быть меньше, чем принято считать.

Рост числа программ-вымогателей в 2020 году был обусловлен появлением ряда новых видов программ, получающих большие суммы от жертв, а также несколькими существующими видами, резко увеличивающими доходы. Количество видов, действующих в течение года, может создать впечатление, что атаки с помощью программ-вымогателей осуществляют специальные группы. Многие виды действуют на платформе, в которой злоумышленники, известные как филиалы, работающие по модели RaaS (программа-вымогатель как услуга), «арендуют» определенный вид антивирусного ПО у его создателей или администраторов. Последние в свою очередь взамен получают часть прибыли от каждой успешной атаки.

Многие филиалы RaaS мигрируют между видами программ-вымогателей. Отсюда создается впечатление, что экосистема программ-вымогателей меньше, чем это кажется на первый взгляд. Кроме того, многие исследователи кибербезопасности считают, что у некоторых самых больших видов вымогателей могут даже быть одни и те же создатели и администраторы, которые публично закрывают операции с одним видом, прежде чем просто выпустить новый, очень похожий вид программы-вымогателя под новым именем. С помощью анализа блокчейнов можно пролить свет на некоторые из этих связей, проанализировав, как адреса, связанные с различными видами программ-вымогателей, взаимодействуют друг с другом.

Злоумышленники-вымогатели переводят большую часть средств, похищенных у их жертв, на основные биржи, биржи с высоким риском (то есть биржи с низкими стандартами безопасности или их отсутствием) и миксеры. Однако инфраструктура для отмывания денег, на которую полагаются злоумышленники, может контролироваться всего несколькими ключевыми игроками, как и сами виды программ-вымогателей.

Между видами программ-вымогателей можно обнаружить связи, изучив общие адреса депозитов, на которые кошельки, связанные с различными видами вымогателей, отправляют средства. Можно предположить, что в большинстве случаев совпадение адресов депозита связано с использованием обычных услуг по отмыванию денег различными видами программ-вымогателей. Опять же, случаи дублирования услуг по отмыванию денег являются важной информацией для правоохранительных органов, так как предполагается, что они могут нарушить деятельность сразу нескольких видов программ-вымогателей. Совпадение также не должно вызывать удивления, поскольку наблюдается некоторое количество рекламы услуг по отмыванию денег на различных хакерских форумах. Многие из этих сервисов используют мулов и другие средства для регистрации множества поддельных учетных записей на крупных биржах, которые злоумышленники контролируют.

Многие злоумышленники готовы ждать, чтобы обналичить заработок. Они часто чувствуют себя безопаснее, ожидаянекоторое время. Кроме того, они верят в криптовалюту и думают, что ее цена будет продолжать расти. Поэтому у них нет проблем, чтобы оставить ее нетронутой в течение нескольких лет.

Как уже упоминалось, большая часть средств от программ-вымогателей перемещается на биржи криптовалют. Эта деятельность по большей части сконцентрирована всего на нескольких сервисах: группа из пяти человек получает 82 % всех средств от программ-вымогателей. Данные показывают, что отмывание денег с помощью программ-вымогателей еще более сконцентрировано на уровне адреса депозита. Только 199 депозитных адресов получили 80 % всех средств, отправленных с адресов программ-вымогателей в 2020 году. Еще меньшая группа из 25 адресов составила 46 %. Наборы адресов, наиболее часто получаемые от вирусов-вымогателей, скорее всего, являются услугами по отмыванию денег, в то время как те, которые получают меньше средств, с большей вероятностью включают третьих лиц, таких как продавцы эксплойтов и надежных хостинг-провайдеров. Любой адрес, получающий $10000 или меньше, с большей вероятностью будет поставщиком услуг, чем отмывателем денег.

Активность на рынке DarkNet повысилась, несмотря на уменьшение покупок и сокращение количества рынков. Рынки DarkNet установили новый рекорд выручки в 2020 году, собрав в общей сложности $1,7 млрд в криптовалюте. Интересно, что этот рекорд стал результатом сокращения индивидуальных покупок на рынках DarkNet с $12,2 млн в 2019 году до менее $10 млн в 2020 году. Если присмотреться более внимательно, можно заметить, что почти весь рост активности на рынке DarkNet в 2020 году можно отнести к одному конкретному рынку: Hydra. Если исключить Hydra, доход от рынка DarkNet не изменился с 2019 по 2020. Hydra уникальна тем, что обслуживает только русскоязычные страны и на сегодняшний день является крупнейшим рынком DarkNet, на который приходится более 75 % доходов рынка DarkNet по всему миру в 2020 году.

В Восточной Европе – один из самых высоких показателей объема транзакций с криптовалютой, связанных с преступной деятельностью, и благодаря Hydra это – единственный регион, в котором криминальный сервис входит в первую десятку организаций, отправляющих криптовалюту в регион.

Со временем Hydra может прийти и в англоязычный мир. В декабре 2019 года Hydra объявила о планах привлечь $146 млн на ICO для нового глобального сервиса DNM под названием Eternos Хотя, кажется, что Covid приостановил реализацию этого плана, однако Hydra объявляет, что планирует расширяться Это может создать значительную проблему для правоохранительных органов США и Европы, так как Hydra разработала уникально сложные операции, например, такие как Uber-подобная система назначения доставки наркотиков анонимными курьерами Они привозят свои пакеты в труднодоступные и скрытые общедоступные места, обычно называемые «дропами», которые затем передаются покупателям Таким образом, физический обмен не производится, и в отличие от традиционных рынков DarkNet продавцам не нужно рисковать, используя почтовую систему.

Если исключить Hydra и другие рынки, которые обслуживают клиентов в определенном регионе, становится понятно, что активность рынка DarkNet гораздо менее сконцентрирована за пределами русскоязычного мира. Многие из крупнейших рынков – это криминальные магазины, продающие украденную информацию о кредитных картах и другие данные, которые могут быть использованы для мошенничества, включая личную информацию, украденные учетные записи для различных услуг и взломов, а не наркотики.

Стандартные биржи, одноранговые (P2P) биржи, биржи с высоким риском и другие рынки DarkNet объединяют почти всю криптовалюту, отправляемую на рынки DarkNet. Стандартные биржи приносили большую долю от общего дохода рынка DarkNet – около 45 % в 2020 году по сравнению с 31 % в 2019 году, в то время как доля P2P-бирж значительно снизилась. Учитывая, что стандартные биржи, как правило, более популярны и просты в использовании, это может означать, что рынки DarkNet привлекли больше новых клиентов, которые не были знакомы с криптовалютой в 2020 году, возможно, из-за снижения уличных продаж во время пандемии Covid.

Стандартные биржи занимают большую долю в 2020 году по сравнению с 2019 годом, а доля P2P-бирж сокращается. Тем не менее, можно наблюдать значительный рост количества средств, поступающих на миксеры: их доля увеличилась более чем вдвое – с 4,8 % в 2019 году до 13,7 % в 2020 году. (Когда пользователь осуществляет транзакцию через миксер, она разбивается на десятки или даже сотни мелких транзакций и перемешиваются с транзакциями других пользователей. Это создано для того, чтобы полностью скрыть первоначальную транзакцию и максимально запутать все последующие – прим. авторов). Это может отражать растущую осторожность продавцов и администраторов DarkNet после репрессий со стороны правоохранительных органов.