Un nuovo rapporto della società di analisi blockchain Chainalysis mostra come i portafogli coinvolti in attacchi ransomware si stiano rivolgendo a pool di mining di criptovalute per riciclare i fondi acquisiti attraverso gli exploit. Due sono le modalità prese in esame dalla società di analisi per documentare questo fenomeno.
I fondi del ransomware e i proventi del mining si mescolano all’indirizzo di deposito di un exchange ad alta liquidità
Il primo esempio riguarda un indirizzo di deposito molto attivo presso un exchange mainstream che ha ricevuto ingenti fondi sia dai pool di mining che dai portafogli associati al ransomware.
Dei 94,2 milioni di dollari di criptovaluta inviati a questo indirizzo di deposito, 19,1 milioni provengono da indirizzi di ransomware e 14,1 milioni da pool di mining. Si può vedere alcune di queste attività nel grafico Chainalysis Reactor qui sotto.
In molti casi, si nota che gli attori del ransomware inviano all’indirizzo di deposito attraverso portafogli intermediari. Tuttavia, l’interazione tra il portafoglio Ransomware 4 e il pool minerario 3 nella parte inferiore del grafico è particolarmente interessante. Sia il portafoglio ransomware che il pool di mining hanno inviato importi sostanziali all’indirizzo di deposito della borsa tramite intermediari. Ma si nota anche che in alcuni casi il portafoglio del ransomware ha inviato fondi al pool di mining, sia direttamente che tramite intermediari. Questo potrebbe rappresentare un sofisticato tentativo di riciclaggio di denaro, in cui l’attore del ransomware incanala i fondi verso il suo exchange preferito attraverso il pool di mining per evitare di far scattare gli allarmi di conformità presso l’exchange. In questo scenario, il pool di mining agisce in modo simile a un mixer, in quanto offusca l’origine dei fondi (si ricorda che non è possibile rintracciare le criptovalute attraverso i servizi, pool di mining inclusi) e crea l’illusione che i fondi siano proventi dell’attività di mining piuttosto che del ransomware. I dati di Chainalysis suggeriscono che questo abuso dei pool di mining da parte degli attori del ransomware potrebbe essere in aumento. Dall’inizio del 2018, si è assistito a un aumento consistente e costante del valore inviato dai portafogli ransomware ai pool di mining.
Questo aumento potrebbe indicare che un maggior numero di attori di ransomware sta incanalando i fondi verso gli exchange attraverso i pool di mining. Più in generale, si notano anche molte criptovalute spostarsi dai portafogli ransomware agli indirizzi di deposito degli exchange che ricevono fondi significativi dai pool di mining. Sebbene questa attività dovrebbe essere più facile da catturare per gli exchange, è possibile che in casi come questi gli attori del ransomware stiano cercando di far passare i propri fondi come proventi dell’attività di mining, anche se non li stanno spostando prima attraverso un pool di mining. In totale, 372 indirizzi di deposito di scambio hanno ricevuto almeno 1 milione di dollari di criptovaluta da pool di mining e qualsiasi importo da indirizzi di ransomware. Il grafico sottostante mostra quanto questi indirizzi di deposito hanno ricevuto dagli indirizzi ransomware da gennaio 2018.
Questi indirizzi di deposito exchange hanno ricevuto 158,3 milioni di dollari da indirizzi ransomware dall’inizio del 2018, una quota significativa del valore totale inviato agli exchange da tutti gli indirizzi ransomware durante il periodo di tempo studiato – e si deve tenere presente che questa cifra è probabilmente una sottostima e crescerà man mano che si identificheranno altri indirizzi ransomware coinvolti in questa attività. Nel complesso, i dati suggeriscono che i pool di estrazione possono svolgere un ruolo chiave nella strategia di riciclaggio di denaro di molti attori di ransomware.
Chi ricicla denaro mescola Bitcoin provenienti da truffe con i proventi del mining
Il secondo esempio riguarda due portafogli associati a riciclatori di denaro che hanno spostato milioni di dollari di Bitcoin associati a una famigerata truffa, BitClub Network, sugli exchange tradizionali. BitClub Network ha truffato gli investitori per centinaia di milioni di dollari tra il 2014 e il 2019 con false promesse di operazioni di mining di Bitcoin che avrebbero fruttato enormi guadagni, finché i suoi amministratori non sono stati incriminati dal Dipartimento di Giustizia degli Stati Uniti.
All’inizio del 2019 e prima dell’incriminazione, BitClub Network ha trasferito milioni di dollari di Bitcoin in portafogli associati a servizi di riciclaggio di denaro clandestini che si ritiene abbiano sede in Russia. Nei tre anni successivi, questi portafogli di riciclaggio hanno spostato Bitcoin verso indirizzi di deposito di due exchange tradizionali. In questo arco di tempo – nello specifico, tra l’ottobre 2021 e l’agosto 2022 – anche un’operazione di mining di Bitcoin con sede in Russia ha spostato milioni di dollari di Bitcoin verso le stesse serie di indirizzi di deposito presso entrambe le borse. Si può vedere questa attività nel grafico Reactor qui sotto.
È interessante notare che uno dei portafogli di riciclaggio ha ricevuto fondi anche da BTC-e, che sono stati incanalati verso gli stessi indirizzi di deposito utilizzati per riciclare i fondi di BitClub Network tra marzo 2017 e novembre 2018. BTC-e e BitClub si sono anche inviati fondi a vicenda nel 2017. BTC-e era un exchange con sede in Russia chiuso nel 2017 per agevolazione del riciclaggio di denaro, compreso il riciclaggio dei fondi rubati nel famigerato hack di Mt. Gox. Si ritiene possibile che i riciclatori di denaro in questo caso abbiano volutamente mescolato i fondi provenienti da BitClub e BTC-e con quelli ottenuti dal mining per far sembrare che tutti i fondi inviati alle due borse provenissero dal mining, come nel nostro ultimo esempio. Come nel caso del ransomware, i dati suggeriscono che anche altri truffatori di criptovalute e riciclatori di denaro che lavorano per loro conto utilizzano i pool di mining come parte del loro processo di riciclaggio di denaro. Si è esaminato tutto il valore ricevuto dal 2018 dagli indirizzi di deposito di exchange esposti alle truffe che hanno ricevuto almeno 1 milione di criptovalute dai mining pool.
In totale, gli indirizzi di deposito che corrispondono a questo profilo hanno ricevuto poco meno di 1,1 miliardi di dollari di criptovalute da indirizzi legati alle truffe dal 2018.
Una migliore conformità può risolvere il problema
Gli esempi che ha lriportato Chainalysis dimostrano che alcune operazioni e pool di mining possono essere sfruttate dai criminali di criptovalute a scopo di riciclaggio di denaro, in particolare quelle con operazioni che si espandono oltre il semplice mining per includere i servizi tipicamente offerti dai VASP. I Virtual Asset Service Provider (VASP) si riferiscono a piattaforme o entità che facilitano le attività finanziarie che coinvolgono le transazioni effettuate in asset digitali. Queste includono i trasferimenti di denaro, lo scambio di asset da asset virtuali a valute fiat e lo stoccaggio e la vendita di questi asset.
In effetti, se la stessa metodologia utilizzata per identificare il ransomware e le truffe che riciclano denaro attraverso il mining su scala, venisse applicata a tutti i tipi di criptocriminalità, è possibile scoprire che quasi 1,8 miliardi di dollari in criptovaluta illecita si sono spostati verso indirizzi di deposito con una forte esposizione al mining.
Tuttavia, si tratta di un problema risolvibile. La prima e più importante soluzione sarebbe che i pool di mining e i servizi di hashing adottassero misure di screening dei portafogli più severe oltre al KYC, utilizzando l’analisi della blockchain per verificare l’origine dei fondi degli utenti e rifiutare le criptovalute provenienti da indirizzi illeciti. In secondo luogo, gli exchange dovrebbero prestare attenzione a considerare il profilo di esposizione completo di tutti i portafogli che inviano loro fondi: con strumenti come Chainalysis KYT, non è possibile che le criptovalute ricevute da indirizzi illeciti si “nascondano” accanto a quelle ottenute tramite mining. Chainalysis KYT (Know Your Transaction) è il software di monitoraggio delle transazioni di criptovalute che rileva modelli di attività ad alto rischio, dagli indirizzi sanzionati dall’OFAC e dai mercati darknet, alle truffe e alle transazioni anomale.
Adottando misure come queste è possibile negare ai malintenzionati l’accesso a una capacità di riciclaggio di denaro potenzialmente preziosa e garantire che il mining, che è una funzionalità fondamentale di Bitcoin e di molte altre blockchain, non venga compromesso.
