Come la criminalità informatica effettua il riciclaggio del denaro del riscatto ottenuto in seguito ad un attacco ransomware

Ecosistema criminale sofisticato

[Torna su]

Negli ultimi anni, la criminalità informatica si è trasformata in un sofisticato ecosistema criminale costruito attorno a strategie di riciclaggio di grande successo che consentono di far sparire le tracce dei soldi ottenuti con i pagamenti dei riscatti da parte delle vittime del ransomware.

I criminali del ransomware, dopo aver incassato il riscatto, devono riuscire a riciclare il denaro in modo da non lasciare tracce agli inquirenti che gli danno la caccia. Inoltre devono convertire il denaro illecito in denaro lecito per poterlo spendere. Per evitare di essere scoperti, i criminali informatici hanno migliorato continuamente le loro tecniche

Gli operatori di ransomware si affidano alle criptovalute e ad altri sistemi di pagamento che sono più difficili da tracciare. Il Bitcoin è la criptovaluta preferita negli attacchi ransomware per diversi fattori, tra cui la sua accessibilità, liquidabilità e facilità di acquisizione. Gli aggressori preferiscono fare una richiesta di riscatto in Bitcoin perché i wallet Bitcoin non richiedono informazioni di identificazione personale. Inoltre le transazioni in Bitcoin sono sempre definitive, non possono essere revocate come succede con le carte di credito.

Tuttavia, le operazioni con Bitcoin si possono fare in incognito, ma non sono anonime. Per cui, le forze dell'ordine possono tracciare i pagamenti fino alla loro destinazione, poiché il valore di ogni transazione e la posizione di ogni wallet Bitcoin sono entrambi pubblicamente disponibili nel Registro Pubblico del Bitcoin. Inoltre, anche se l'identità del proprietario di un wallet è nascosta, nel momento in cui si voglia convertire i Bitcoin in denaro fiat presso un Exchange, bisogna rivelare la propria identità.

Riciclaggio con la tecnica della miscelazione

[Torna su]

Per aumentare l'anonimato, gli aggressori ricorrono spesso a servizi di miscelazione (mixing services), che ridistribuiscono i Bitcoin da diverse fonti su più indirizzi per nascondere la fonte originale dei fondi e impedire l'analisi delle transazioni.

Wasabi è un wallet che offre il servizio di miscelazione attraverso la tecnologia del mixer CoinJoin, che ha la funzione di rendere più difficile il collegamento delle transazioni di criptovalute a determinati utenti. CoinJoin mette insieme un centinaio di transazioni diverse in una sola, rendendo il processo di tracciamento molto difficile, se non impossibile.

Con il mixer CoinJoin numerose transazioni vengono mischiate insieme, e vengono reindirizzate attraverso una rete molto intricata e inviate a diversi wallet. Questo inganno favorisce il riciclaggio di bitcoin, o per lo meno permette di eludere l'individuazione.

Inoltre, il protocollo prevede anche l'implementazione del Cryptographic Blinding (Accecamento), che è una tecnica crittografica per nascondere il contenuto di un messaggio per cui aumenta ulteriormente la privacy. Il processo di miscelazione non costa molto, la commissione è del 0,3%. Il wallet Wasabi accetta solo Bitcoin e la quantità minima di Bitcoin suggerita è di 0,01 Bitcoin per transazione.

Wasabi è un wallet solo per Desktop ed è compatibile con Window, Linus e Mac e si può scaricare online. Al momento del download si scaricherà anche il browser Tor, il più usato nel Dark Web. Il browser Tor garantisce che le connessioni siano totalmente private, occultando la IP.

Ecco quindi che unendo la privacy di Tor al miscelatore di CoinJoin, ed al Cryptographic Blinding il wallet Wasabi si propone come lo strumento più completo ed adatto per chi vuole preservare la sua privacy. Inoltre Wasabi è facile da usare, ed è stato progettato per fornire la privacy automaticamente per impostazione predefinita.

Convertire i Bitcoin in Monero

[Torna su]

Un'altra tecnica è quella chiamata jump chains in cui i criminali cambiano i Bitcoin con un'altra criptovaluta come Monero (XMR). Si tratta di una criptovaluta che molti aggressori preferiscono per via del suo anonimato. Monero è in grado di effettuare delle transazioni che non lasciano tracce con il fine di occultare l'origine dei fondi, in modo che né il mittente né il beneficiario possano essere identificati e tracciati.

Tuttavia nel momento in cui si debba cambiare Bitcoin con Monero, si deve passare attraverso un exchange che, in osservanza alle leggi, chiede i dati d'identità dell'utente. A questo proposito, esiste invece un exchange che dichiara di non richiedere nessun tipo di registrazione dati previa, per fare il cambio istantaneo da Bitcoin a Monero. Si tratta di stealthex.io che mediante l'interfaccia online asserisce di poter fare il cambio seduta stante, oppure di poter fare la vendita delle criptovalute a cambio di denaro fiat da accreditare su una carta di credito.

Come tracciare il denaro del riscatto con le nuove tecnologie

[Torna su]

Gli inquirenti non stanno a guardare. Hanno affinato tecnologie raffinate che scansionano la blockchain in cerca dei wallet in cui vengono accumulati i pagamenti della vittima ed i wallet in cui vengono successivamente trasferiti i fondi. Per mezzo del machine learning con la scansione dei file è possibile collegare i vari tipi di ransomware a specifici wallet bitcoin.

Non è facile individuare questi movimenti perché i criminali usano il sistema di miscelazione, però come sempre il punto più delicato si trova al finale della catena, quando si vuole incassare i soldi. A questo proposito gli investigatori hanno scoperto che i criminali tendono a svuotare i wallet a favore di un solo wallet che viene chiamato wallet di accumulo. Questo wallet di accumulo viene utilizzate per incassare anche fino a 1 milione di dollari in poche settimane. Una volta scoperto il wallet di accumulo, si passa ad esaminare tutti i movimenti che sono lì confluiti per poter collegare i pagamenti del riscatto.

In conclusione, abbiamo visto che negli ultimi anni il riscatto è diventato uno degli asset più redditizi dei criminali informatici. Le imprese dovrebbero sensibilizzare i propri dipendenti e collaboratori a non cliccare su email sconosciute ed a eseguire il backup dei propri dati molto più spesso, se non vogliamo che il ransomware che già è un'industria multimiliardaria, continui a crescere ancora di più.


Foto: 123rf.com
Altri articoli che potrebbero interessarti:
In evidenza oggi: