Сеть по отмыванию криптовалюты, связанная с группами вымогателей, ликвидирована правоохранительными органами

TL;DR

• По данным Chainalysis, правоохранительные органы ликвидировали AudiA6 — сеть криптовалютного отмывания денег, связанную с программами-вымогателями и даркнет-активностью.
• Компания сообщает, что с 2021 года сеть обработала около 10 333 BTC, исторически оценённых примерно в 389 млн $.
• Власти арестовали двух предполагаемых старших администраторов в Грузии, США добиваются их экстрадиции.
• Дело наглядно показывает, как нелегальные сети вывода крипто-средств могут опираться на легальные биржи, счета дропов и даркнет-инфраструктуру.

Международная правоохранительная операция ликвидировала сеть отмывания криптовалюты, известную как AudiA6, — об этом сообщила компания блокчейн-аналитики Chainalysis. Дело наглядно демонстрирует, как связанные с программами-вымогателями средства могут перемещаться через смесь даркнет-сервисов, счетов дропов и инфраструктуры централизованных бирж.

В докладе от 11 июня Chainalysis сообщила, что операция была направлена против AudiA6, которую компания описала как платформу для отмывания криптовалюты и провайдера услуги «миксер как сервис», используемой операторами программ-вымогателей, даркнет-рынками и другими киберпреступными сервисами. По данным компании, с момента запуска в 2021 году сеть обработала около 10 333 BTC, исторически оценённых примерно в 389 млн $.

Действия правоохранительных органов против AudiA6

По данным Chainalysis, в скоординированных правоохранительных действиях участвовали несколько агентств, в том числе Министерство юстиции США, Секретная служба США, Европол и другие международные партнёры. Власти арестовали двух предполагаемых старших администраторов в Республике Грузия: гражданина Украины 37 лет и гражданина России 25 лет. США добиваются их экстрадиции.

Правоохранительные органы также изъяли цифровую инфраструктуру на территории США и Европы. Chainalysis сообщила, что сайты, связанные с AudiA6, и ассоциированный даркнет-форум о киберпреступлениях Dark2Web были заменены баннерами об изъятии, что фактически отрезало доступ к инфраструктуре, которая предположительно помогала злоумышленникам рекламировать услуги, координировать действия и обналичивать незаконно полученные средства.

Это дело важно тем, что AudiA6 не позиционировался как простой автономный миксер. Chainalysis описала сеть как часть более широкой экосистемы, в которой киберпреступники могли связываться через Dark2Web, договариваться об услугах по отмыванию денег и перемещать средства через конвейер вывода, затрагивающий как нелегальные, так и легальные части крипто-экономики.

Как работала сеть по данным Chainalysis

По данным Chainalysis, AudiA6 использовал более 6 000 KYC-верифицированных счетов дропов для перемещения средств через централизованные криптовалютные биржи. На практике это означает, что сеть предположительно эксплуатировала легальную биржевую инфраструктуру, направляя незаконные средства через счета, прошедшие проверку личности, что делало активность труднее отличимой от обычных пользовательских транзакций.

Компания сообщила, что следователи отследили не менее 393 BTC, исторически оцениваемых более чем в 19 млн $, напрямую от известных операторов программ-вымогателей, даркнет-рынков и других киберпреступных сервисов. Chainalysis также сообщила, что более 16 млн $, связанных непосредственно с программами-вымогателями и похищенными средствами, были отмыты через эту сеть.

За услуги по отмыванию предположительно взималась комиссия от 3% до 10%. По данным Chainalysis, система могла возвращать обфусцированные средства клиентам в течение примерно одного часа, предоставляя злоумышленникам относительно быстрый способ конвертировать или перемещать выручку после атак.

В докладе также была установлена связь инфраструктуры вывода AudiA6 с санкционированными российскими биржами, включая Bitzlato и Garantex, а также указано, что сеть имела значительные связи с Exploit.in — русскоязычным форумом о киберпреступлениях, располагающим эскроу-сервисом. Chainalysis также отметила, что Европол выявил домены, предположительно используемые администраторами для регистрации мошеннических счетов дропов: designli.pictures, deliverly.top и inboxly.top.

Почему это важно для крипто-правоприменения

Для более широкого крипто-рынка дело AudiA6 — напоминание о том, что правоохранительное давление всё больше сосредотачивается на инфраструктуре вокруг киберпреступности, а не только на первоначальных кражах или выплатах вымогателям. Следователи изучают, куда движутся средства дальше, какие сервисы обеспечивают вывод, и как нелегальные субъекты пытаются смешаться с законопослушными платформами.

Это различие имеет значение. Централизованные биржи и платёжные системы не обязательно являются источником преступной деятельности, однако они могут стать привлекательными целями для сетей по отмыванию денег, если счета дропов и слабые методы мониторинга создают достаточно пространства для действий злоумышленников. Доклад Chainalysis свидетельствует о том, что AudiA6 в значительной мере опирался именно на этот пробел.

Дело также подчёркивает, почему блокчейн-аналитика стала центральной частью правоприменения в сфере крипто. Публичные блокчейны могут дать следователям цепочку транзакций, однако превращение этой цепочки в правоохранительное действие нередко требует связывания кошельков, сервисной инфраструктуры, доменов, счетов для вывода средств и реальных операторов.

Для легальных крипто-пользователей и компаний вывод состоит не в том, что крипто уникально криминально. Вывод в том, что та же прозрачность, которая позволяет средствам перемещаться по всему миру, может также дать следователям карту, когда сети отмывания становятся достаточно крупными, чтобы оставлять видимые паттерны.

Ликвидацией AudiA6 правоохранительные органы, по всей видимости, посылают чёткий сигнал: сервисы, помогающие группам вымогателей и даркнет-продавцам конвертировать крипто в пригодные для использования средства, теперь находятся под прицелом.

Первоначально сообщено Chainalysis (originally reported by Chainalysis)