Het Amerikaanse ministerie van Financiën heeft dinsdag aangekondigd dat het achter de in Rusland gevestigde cryptocurrency-uitwisseling Suex aan gaat voor het faciliteren van ransomware-betalingen in een van de eerste openbare, concrete acties die tegen ransomware-groepen zijn ondernomen.
Vorige week meldde de Wall Street Journal dat het ministerie van Financiën een soort van ransomware-gerelateerde sancties plant, maar Amerikaanse functionarissen legden zijn plannen dinsdag in detail uit.
Het Department of the Treasury's Office of Foreign Assets Control's (OFAC) zei dat Suex werd gesanctioneerd voor zijn rol bij het faciliteren van “transacties met illegale opbrengsten van ten minste acht ransomwarevarianten.”
Gegevens toonden aan dat bij meer dan 40% van de transacties van Suex “illegale actoren” betrokken waren volgens het ministerie van Financiën, dat eraan toevoegde dat virtuele valuta-uitwisselingen zoals Suex “van cruciaal belang zijn voor de winstgevendheid van ransomware-aanvallen, die helpen bij het financieren van extra cybercriminele activiteiten.”
Amerikaanse functionarissen zeiden dat het de eerste sanctie was tegen een virtuele valutawissel en werd uitgevoerd in samenwerking met de FBI.
Ze merkten op dat niet alle virtuele valuta-uitwisselingen werken met ransomware-actoren en legden uit dat sommige vaak worden uitgebuit door kwaadwillende actoren. Maar een aantal beurzen werken rechtstreeks samen met ransomware-bendes om de winst te vergroten.
“Als gevolg van de aanwijzing van vandaag zijn alle eigendommen en belangen in eigendom van het aangewezen doelwit die onder de jurisdictie van de VS vallen, geblokkeerd, en het is Amerikaanse personen over het algemeen verboden om transacties met hen aan te gaan. Bovendien zijn entiteiten die voor 50% of meer eigendom zijn van een of meer aangewezen personen zijn ook geblokkeerd”, aldus het ministerie van Financiën over Suex.
“Bovendien kunnen financiële instellingen en andere personen die zich bezighouden met bepaalde transacties of activiteiten met de gesanctioneerde entiteiten en individuen zichzelf blootstellen aan sancties of onderworpen worden aan een handhavingsactie. De actie van vandaag tegen Suex impliceert geen sancties die verband houden met een bepaalde Ransomware- as-a-Service (RaaS) of variant.”
Blockchain-analysebedrijf Chainalysis — dat assisteerde bij het onderzoek — zei dat hoewel Suex is geregistreerd in Tsjechië, het geen fysiek kantoor heeft daar en heeft meerdere vestigingen in Moskou en St. Petersburg. Er zijn ook Suex-vestigingen in heel Rusland en in het Midden-Oosten.
De uitwisseling is populair geworden onder cybercriminelen omdat het beweert in staat te zijn om cryptocurrency-bezit om te zetten in contanten op filialen en zelfs de uitwisseling van cryptocurrency voor fysieke activa zoals onroerend goed, auto's en jachten te vergemakkelijken, volgens Chainalysis.
De sancties maken deel uit van een grotere inspanning om ransomware te ontwrichten, die in 2020 ten minste $ 400 miljoen aan losgeld opleverde.
Minister van Financiën Janet Yellen benadrukte dat ransomware-groepen hun aanvallen op bedrijven, scholen en ziekenhuizen niet hebben gestopt sinds het Witte Huis zijn inspanningen heeft opgevoerd om de golf van incidenten die honderden organisaties verlammen, een halt toe te roepen. Deze week werd een Amerikaans landbouwbedrijf uitgeschakeld door een ransomware-aanval.
“We zullen kwaadwillende actoren blijven aanpakken”, zei Yellen. “Omdat cybercriminelen steeds geavanceerdere methoden en technologie gebruiken, zetten we ons in om het volledige scala aan maatregelen te gebruiken, inclusief sancties en regelgevende instrumenten, om ransomware-aanvallen te verstoren, af te schrikken en te voorkomen.”
De VS is proberen een raamwerk tegen witwassen/bestrijding van terrorismefinanciering (AML/CFT) in te stellen bij virtuele valuta-uitwisselingen en bedrijven als een manier om te verstoren hoe ransomware-groepen erin slagen om weg te komen met hun misdaden.
OFAC heeft ook een bijgewerkt advies uitgebracht waarin bedrijven worden ontmoedigd om losgeld te betalen en organisaties aansporen om strengere cyberbeveiligingspraktijken te bevorderen. Het advies smeekt organisaties om contact op te nemen met Amerikaanse overheidsinstanties in het geval van een aanval en met hen samen te werken “om gebruik te maken van OFAC's significante beperking met betrekking tot OFAC-handhavingszaken en om vrijwillige zelfonthulling te ontvangen in het geval dat er later sancties worden vastgesteld.”
De regering merkte op dat het via haar Financial Crimes Enforcement Network informatie heeft verzameld over ransomware-betalingen.
De Treasury-afdeling gebruikte het Chainalysis-platform en de tools van het bedrijf om haar onderzoek naar Suex uit te voeren.
Gurvais Grigg, CTO voor de wereldwijde publieke sector bij Chainalysis, vertelde ZDNet dat het bedrijf een lange geschiedenis heeft in het ondersteunen van overheidsinspanningen door inzicht te geven in hoe cryptocurrencies worden gebruikt en in sommige gevallen misbruikt door kwaadwillenden.
“Met Met name Suex volgen we al een tijdje. We identificeerden ze voor het eerst in 2019 als een van een relatief kleine groep OTC-makelaars die slechte spelers hielpen om een grote hoeveelheid onrechtmatig verkregen winsten te verzilveren, “zei Grigg.
“Het is een algemene misvatting dat cryptocurrency anoniem en niet-traceerbaar is. Chainalysis heeft een lange geschiedenis in het leveren van technologie aan overheidsinstanties om hen te helpen bij het onderzoeken van illegale activiteiten met behulp van cryptocurrency. Onze onderzoekstools zijn gebruikt in enkele van de meest spraakmakende recente cybercriminaliteitsonderzoeken, waaronder ransomware, seksueel misbruik van kinderen, darknet-markten en meer.”
Grigg voegde eraan toe dat het bedrijf verdere acties verwacht naarmate regeringen en instanties hun vaardigheid en toegang tot de gegevens en hulpmiddelen vergroten die nodig zijn om onderzoek naar cryptocurrency uit te voeren.
Op de vraag of het bedrijf samenwerkte met andere wetshandhavingsinstanties in de buurt van de wereld, zei Grigg dat ze “met veel partners over de hele wereld werken en onze gegevens en diensten worden gebruikt in meer dan 60 landen.”
“Deze partners werken actief aan vergelijkbare zaken en gebruiken onze gegevens en tools op een vergelijkbare manier als Treasury bij de acties die vandaag zijn ondernomen,” zei Grigg.
Het bedrijf heeft een blogpost uitgebracht waarin een deel van hun rol in het onderzoek wordt uitgelegd, waarbij wordt opgemerkt dat Suex honderden miljoenen dollars aan cryptocurrency heeft verplaatst – meestal in Bitcoin, Ether en Tether – waarvan een groot deel afkomstig is van illegale en risicovolle bronnen.
Ketenanalyse
“Alleen al in Bitcoin hebben de stortingsadressen van Suex die op grote beurzen worden gehost meer dan $ 160 miljoen ontvangen van ransomware-actoren, oplichters en darknet-marktexploitanten. Chainalysis' onderzoek onthult dat de OTC cryptocurrency omzet in contanten bij fysieke vestigingen in Moskou en St. Petersburg , en mogelijk ook op andere kantoren buiten Rusland”, zei Chainalysis.
“Suex blijkt ook meer dan $50 miljoen aan Bitcoin te hebben ontvangen, verzonden vanaf adressen die worden gehost op illegale cryptocurrency-uitwisseling BTC-e van 2018 tot 2021, lang nadat BTC-e door de Amerikaanse autoriteiten was stopgezet vanwege zijn eigen witwasactiviteit namens cybercriminelen.”
Chainalysis zei dat het al een tijdje het witwassen van geld op Suex volgde, en ontdekte dat meerdere adressen die aan de site zijn gekoppeld, zijn opgenomen in de groep van 273 servicedepositoadressen die volgens hen 55% van alle fondsen ontvingen die in 2020 van illegale adressen werden verzonden in hun recente Rapport over cryptocriminaliteit. Suex-adressen kwamen ook veel voor in andere lijsten met adressen die verband houden met het witwassen van geld.
Het bedrijf zei dat vanwege de omvang van Suex, het sluiten van het bedrijf “een grote klap zou betekenen voor veel van de grootste cyberbedreigingsactoren die momenteel actief zijn, waaronder toonaangevende ransomware-aanvallers, oplichters en darknet-marktexploitanten.”
“Suex opereert als een geneste service, wat betekent dat het werkt met adressen die worden gehost door grotere beurzen om gebruik te maken van de liquiditeit en handelsparen van die beurzen. Hoewel veel geneste services legitiem zijn, bieden sommige beurzen geen geneste services die voldoen aan voldoende hoge nalevingsnormen, wat betekent dat ze kan worden uitgebuit voor het witwassen van geld”, vond Chainalysis.
“Blockchain-analyse onthult dat Suex voor tientallen miljoenen aan cryptocurrency-betalingen heeft ontvangen van adressen die zijn gekoppeld aan verschillende vormen van cybercriminaliteit, evenals van adressen die zijn gekoppeld aan de nu gesloten beurs BTC-e.”
Chainalysis-onderzoekers zeiden dat er aanzienlijke financiële banden zijn tussen SUEX en BTC-e. Ondanks de sluiting in 2017, faciliteerde Suex overdrachten namens BTC-e-beheerders, medewerkers of voormalige gebruikers die “probeerden cryptovaluta te liquideren die vastzaten op de beurs”. Sommige van de BTC-e-overdrachten vonden zelfs dit jaar plaats, ondanks dat het platform jaren geleden werd gesloten.
$ 481 miljoen aan Bitcoin heeft zijn weg gevonden naar Suex sinds het in februari 2018 opkwam, inclusief bijna $ 13 miljoen van ransomware-bendes zoals Ryuk, Conti, Maze en anderen. Andere cybercriminelen, zoals degenen die betrokken zijn bij Finiko, hebben ook miljoenen op de site uitgegeven.
“Een kleine groep illegale diensten faciliteert het merendeel van het witwassen van geld op basis van cryptocurrency, en Suex is een van de ergste overtreders, dus de actie van vandaag is een positieve stap voorwaarts in de strijd tegen cybercriminaliteit”, aldus Chainalysis.
“We prijzen OFAC voor het maken van deze aanwijzing en kijken ernaar uit om samen te werken met onze partners in de publieke en private sector om de strijd tegen witwasserviceproviders voort te zetten.”
Ransomware: een uitvoerende gids voor een van de grootste bedreigingen op het web
Alles wat u moet weten over ransomware: hoe het begon, waarom het zo populair is, hoe u zich ertegen kunt beschermen en wat u moet doen als uw pc is geïnfecteerd.
Meer lezen
Meer lezen
Verwante onderwerpen:
E-Commerce CXO Beveiliging Innovatie Smart Cities 