Читаем Цифровая революция. Преимущества и риски. Искусственный интеллект и интернет всего полностью

Рост числа программ-вымогателей в 2020 году был обусловлен появлением ряда новых видов программ, получающих большие суммы от жертв, а также несколькими существующими видами, резко увеличивающими доходы. Количество видов, действующих в течение года, может создать впечатление, что атаки с помощью программ-вымогателей осуществляют специальные группы. Многие виды действуют на платформе, в которой злоумышленники, известные как филиалы, работающие по модели RaaS (программа-вымогатель как услуга), «арендуют» определенный вид антивирусного ПО у его создателей или администраторов. Последние в свою очередь взамен получают часть прибыли от каждой успешной атаки.

Многие филиалы RaaS мигрируют между видами программ-вымогателей. Отсюда создается впечатление, что экосистема программ-вымогателей меньше, чем это кажется на первый взгляд. Кроме того, многие исследователи кибербезопасности считают, что у некоторых самых больших видов вымогателей могут даже быть одни и те же создатели и администраторы, которые публично закрывают операции с одним видом, прежде чем просто выпустить новый, очень похожий вид программы-вымогателя под новым именем. С помощью анализа блокчейнов можно пролить свет на некоторые из этих связей, проанализировав, как адреса, связанные с различными видами программ-вымогателей, взаимодействуют друг с другом.

Злоумышленники-вымогатели переводят большую часть средств, похищенных у их жертв, на основные биржи, биржи с высоким риском (то есть биржи с низкими стандартами безопасности или их отсутствием) и миксеры. Однако инфраструктура для отмывания денег, на которую полагаются злоумышленники, может контролироваться всего несколькими ключевыми игроками, как и сами виды программ-вымогателей.

Между видами программ-вымогателей можно обнаружить связи, изучив общие адреса депозитов, на которые кошельки, связанные с различными видами вымогателей, отправляют средства. Можно предположить, что в большинстве случаев совпадение адресов депозита связано с использованием обычных услуг по отмыванию денег различными видами программ-вымогателей. Опять же, случаи дублирования услуг по отмыванию денег являются важной информацией для правоохранительных органов, так как предполагается, что они могут нарушить деятельность сразу нескольких видов программ-вымогателей. Совпадение также не должно вызывать удивления, поскольку наблюдается некоторое количество рекламы услуг по отмыванию денег на различных хакерских форумах. Многие из этих сервисов используют мулов и другие средства для регистрации множества поддельных учетных записей на крупных биржах, которые злоумышленники контролируют.

Многие злоумышленники готовы ждать, чтобы обналичить заработок. Они часто чувствуют себя безопаснее, ожидаянекоторое время. Кроме того, они верят в криптовалюту и думают, что ее цена будет продолжать расти. Поэтому у них нет проблем, чтобы оставить ее нетронутой в течение нескольких лет.

Как уже упоминалось, большая часть средств от программ-вымогателей перемещается на биржи криптовалют. Эта деятельность по большей части сконцентрирована всего на нескольких сервисах: группа из пяти человек получает 82 % всех средств от программ-вымогателей. Данные показывают, что отмывание денег с помощью программ-вымогателей еще более сконцентрировано на уровне адреса депозита. Только 199 депозитных адресов получили 80 % всех средств, отправленных с адресов программ-вымогателей в 2020 году. Еще меньшая группа из 25 адресов составила 46 %. Наборы адресов, наиболее часто получаемые от вирусов-вымогателей, скорее всего, являются услугами по отмыванию денег, в то время как те, которые получают меньше средств, с большей вероятностью включают третьих лиц, таких как продавцы эксплойтов и надежных хостинг-провайдеров. Любой адрес, получающий $10000 или меньше, с большей вероятностью будет поставщиком услуг, чем отмывателем денег.

Активность на рынке DarkNet повысилась, несмотря на уменьшение покупок и сокращение количества рынков. Рынки DarkNet установили новый рекорд выручки в 2020 году, собрав в общей сложности $1,7 млрд в криптовалюте. Интересно, что этот рекорд стал результатом сокращения индивидуальных покупок на рынках DarkNet с $12,2 млн в 2019 году до менее $10 млн в 2020 году. Если присмотреться более внимательно, можно заметить, что почти весь рост активности на рынке DarkNet в 2020 году можно отнести к одному конкретному рынку: Hydra. Если исключить Hydra, доход от рынка DarkNet не изменился с 2019 по 2020. Hydra уникальна тем, что обслуживает только русскоязычные страны и на сегодняшний день является крупнейшим рынком DarkNet, на который приходится более 75 % доходов рынка DarkNet по всему миру в 2020 году.

В Восточной Европе – один из самых высоких показателей объема транзакций с криптовалютой, связанных с преступной деятельностью, и благодаря Hydra это – единственный регион, в котором криминальный сервис входит в первую десятку организаций, отправляющих криптовалюту в регион.