ориентированный на Северную Корею). В 2020 году были выявлены два гражданина Китая, которые работали с представителями Lazarus Group над отмыванием криптовалюты, украденной ими на биржах. Наконец, Соединенные Штаты представлены, хотя и в меньшей степени, в части средств, полученных с адресов, которые связаны с мошенничеством и украденными средствами.

Программы-вымогатели

В 2020 году количество программ-вымогателей резко возросло, но виновников может быть меньше, чем принято считать.

Рост числа программ-вымогателей в 2020 году был обусловлен появлением ряда новых видов программ, получающих большие суммы от жертв, а также несколькими существующими видами, резко увеличивающими доходы. Количество видов, действующих в течение года, может создать впечатление, что атаки с помощью программ-вымогателей осуществляют специальные группы. Многие виды действуют на платформе, в которой злоумышленники, известные как филиалы, работающие по модели RaaS (программа-вымогатель как услуга), «арендуют» определенный вид антивирусного ПО у его создателей или администраторов. Последние в свою очередь взамен получают часть прибыли от каждой успешной атаки.

Многие филиалы RaaS мигрируют между видами программ-вымогателей. Отсюда создается впечатление, что экосистема программ-вымогателей меньше, чем это кажется на первый взгляд. Кроме того, многие исследователи кибербезопасности считают, что у некоторых самых больших видов вымогателей могут даже быть одни и те же создатели и администраторы, которые публично закрывают операции с одним видом, прежде чем просто выпустить новый, очень похожий вид программы-вымогателя под новым именем. С помощью анализа блокчейнов можно пролить свет на некоторые из этих связей, проанализировав, как адреса, связанные с различными видами программ-вымогателей, взаимодействуют друг с другом.

Злоумышленники-вымогатели переводят большую часть средств, похищенных у их жертв, на основные биржи, биржи с высоким риском (то есть биржи с низкими стандартами безопасности или их отсутствием) и миксеры. Однако инфраструктура для отмывания денег, на которую полагаются злоумышленники, может контролироваться всего несколькими ключевыми игроками, как и сами виды программ-вымогателей.

Экосистема программ вымогателей

Между видами программ-вымогателей можно обнаружить связи, изучив общие адреса депозитов, на которые кошельки, связанные с различными видами вымогателей, отправляют средства. Можно предположить, что в большинстве случаев совпадение адресов депозита связано с использованием обычных услуг по отмыванию денег различными видами программ-вымогателей. Опять же, случаи дублирования услуг по отмыванию денег являются важной информацией для правоохранительных органов, так как предполагается, что они могут нарушить деятельность сразу нескольких видов программ-вымогателей. Совпадение также не должно вызывать удивления, поскольку наблюдается некоторое количество рекламы услуг по отмыванию денег на различных хакерских форумах. Многие из этих сервисов используют мулов и другие средства для регистрации множества поддельных учетных записей на крупных биржах, которые злоумышленники контролируют.

Многие злоумышленники готовы ждать, чтобы обналичить заработок. Они часто чувствуют себя безопаснее, ожидаянекоторое время. Кроме того, они верят в криптовалюту и думают, что ее цена будет продолжать расти. Поэтому у них нет проблем, чтобы оставить ее нетронутой в течение нескольких лет.

Как уже упоминалось, большая часть средств от программ-вымогателей перемещается на биржи криптовалют. Эта деятельность по большей части сконцентрирована всего на нескольких сервисах: группа из пяти человек получает 82 % всех средств от программ-вымогателей. Данные показывают, что отмывание денег с помощью программ-вымогателей еще более сконцентрировано на уровне адреса депозита. Только 199 депозитных адресов получили 80 % всех средств, отправленных с адресов программ-вымогателей в 2020 году. Еще меньшая группа из 25 адресов составила 46 %. Наборы адресов, наиболее часто получаемые от вирусов-вымогателей, скорее всего, являются услугами по отмыванию денег, в то время как те, которые получают меньше средств, с большей вероятностью включают третьих лиц, таких как продавцы эксплойтов и надежных хостинг-провайдеров. Любой адрес, получающий $10000 или меньше, с большей вероятностью будет поставщиком услуг, чем отмывателем денег.

Рынок DarkNet

Активность на рынке DarkNet повысилась, несмотря на уменьшение покупок и сокращение количества рынков. Рынки DarkNet установили новый рекорд выручки в 2020 году, собрав в общей сложности $1,7 млрд в криптовалюте. Интересно, что этот рекорд стал результатом сокращения индивидуальных покупок на рынках DarkNet с $12,2 млн в 2019 году до менее $10 млн в 2020 году. Если присмотреться более внимательно, можно заметить, что почти весь рост активности на рынке DarkNet в 2020 году можно отнести к одному конкретному рынку: Hydra. Если исключить Hydra, доход от рынка DarkNet не изменился с 2019 по 2020. Hydra уникальна тем, что обслуживает только русскоязычные страны и на сегодняшний день является крупнейшим рынком DarkNet, на который приходится более 75 % доходов рынка DarkNet по всему миру в 2020 году.

В Восточной Европе – один из самых высоких показателей объема транзакций с криптовалютой, связанных с преступной деятельностью, и благодаря Hydra это – единственный регион, в котором криминальный сервис входит в первую десятку организаций, отправляющих криптовалюту в регион.

Со временем Hydra может прийти и в англоязычный мир. В декабре 2019 года Hydra объявила о планах привлечь $146 млн на ICO для нового глобального сервиса DNM под названием Eternos Хотя, кажется, что Covid приостановил реализацию этого плана, однако Hydra объявляет, что планирует расширяться Это может создать значительную проблему для правоохранительных органов США и Европы, так как Hydra разработала уникально сложные операции, например, такие как Uber-подобная система назначения доставки наркотиков анонимными курьерами Они привозят свои пакеты в труднодоступные и скрытые общедоступные места, обычно называемые «дропами», которые затем передаются покупателям Таким образом, физический обмен не производится, и в отличие от традиционных рынков DarkNet продавцам не нужно рисковать, используя почтовую систему.

Если исключить Hydra и другие рынки, которые обслуживают клиентов в определенном регионе, становится понятно, что активность рынка DarkNet гораздо менее сконцентрирована за пределами русскоязычного мира. Многие из крупнейших рынков – это криминальные магазины, продающие украденную информацию о кредитных картах и другие данные, которые могут быть использованы для мошенничества, включая личную информацию, украденные учетные записи для различных услуг и взломов, а не наркотики.

Стандартные биржи, одноранговые (P2P) биржи, биржи с высоким риском и другие рынки DarkNet объединяют почти всю криптовалюту, отправляемую на рынки DarkNet. Стандартные биржи приносили большую долю от общего дохода рынка DarkNet – около 45 % в 2020 году по сравнению с 31 % в 2019 году, в то время как доля P2P-бирж значительно снизилась. Учитывая, что стандартные биржи, как правило, более популярны и просты в использовании, это может означать, что рынки DarkNet привлекли больше новых клиентов, которые не были знакомы с криптовалютой в 2020 году, возможно, из-за снижения уличных продаж во время пандемии Covid.

Стандартные биржи занимают большую долю в 2020 году по сравнению с 2019 годом, а доля P2P-бирж сокращается. Тем не менее, можно