Hakerzy i oszuści ransomware wykorzystują kopanie w chmurze do prania kryptowalut

Zgodnie z ostatnimi ustaleniami ujawniono, że aktorzy ransomware i oszuści kryptowalut wykorzystują obecnie usługi wydobywania w chmurze do prania zasobów cyfrowych, dołączając do podmiotów państw narodowych w tej nadużyciu.

Firma analityczna Blockchain Chainalysis stwierdziła w raporcie udostępnionym The Hacker News, że chociaż wydobywanie kryptowalut jest istotną częścią branży, przemawia również do złośliwych aktorów, ponieważ oferuje sposób na zdobywanie pieniędzy z czystego źródła w łańcuchu. W raporcie zwrócono uwagę na przypadek firmy APT43 z Korei Północnej, która wykorzystywała usługi wynajmu haszyszu i wydobywania w chmurze w celu zaciemnienia śladów kryminalistycznych i oczyszczenia skradzionej kryptowaluty.

Usługi kopania w chmurze pozwalają użytkownikom wynajmować systemy komputerowe i wykorzystywać ich moc obliczeniową do wydobywania kryptowalut bez konieczności samodzielnego zarządzania sprzętem. Chainalysis podkreśliło, że nie tylko krajowe grupy hakerskie wykorzystują te usługi. Przytoczyli przykład, w którym pule wydobywcze i portfele powiązane z aktorami ransomware były wykorzystywane do wysyłania środków na wysoce aktywny adres depozytowy na nieujawnionej giełdzie kryptograficznej głównego nurtu. Wiązało się to ze znacznymi sumami, z czego 19,1 mln USD pochodziło z czterech adresów portfeli ransomware, a 14,1 mln USD z trzech pul wydobywczych.

Fundusze były kierowane przez pośrednie portfele i pule, tworząc złudzenie, że wpływy pochodziły z wydobycia, a nie z oprogramowania ransomware. Skumulowana wartość aktywów wysłanych z portfeli ransomware na giełdy za pośrednictwem pul wydobywczych wzrosła z poniżej 10 000 USD w I kwartale 2018 r. do prawie 50 mln USD w I kwartale 2023 r., co wskazuje na rosnącą popularność tego trendu.

Chainalysis zauważył, że pule wydobywcze mogą odgrywać znaczącą rolę w strategiach prania pieniędzy wielu aktorów ransomware. Co więcej, operatorzy oszustów, tacy jak BitClub Network, również włączyli pule wydobywcze do swoich nielegalnych działań, mieszając swoje nieuczciwie zdobyte dochody z Bitcoinów z aktywami uzyskanymi z rosyjskiej operacji wydobywczej Bitcoin i BTC-e, giełdy kryptograficznej znanej z ułatwiania prania brudnych pieniędzy z włamanie do Mount Gox.

Co to jest wydobywanie kryptowaluty i dlaczego jest kuszącą opcją dla podmiotów atakujących ransomware?

Wydobywanie kryptowalut w chmurze odnosi się do praktyki korzystania z usług opartych na chmurze do wydobywania kryptowalut. Zamiast konfigurować i zarządzać własnym sprzętem wydobywczym, osoby lub organizacje mogą wynajmować moc obliczeniową od dostawców wydobywania w chmurze i wykorzystywać ją do operacji wydobywczych.

Aktorzy atakujący ransomware uważają kopanie kryptowalut w chmurze za kuszące z kilku powodów. Po pierwsze, pozwala im wydobywać kryptowaluty bez konieczności inwestowania w drogi sprzęt lub zajmowania się operacyjną złożonością utrzymania infrastruktury wydobywczej. Wydzierżawiając moc obliczeniową od usług wydobywania w chmurze, mogą szybko rozpocząć wydobywanie i generowanie kryptowaluty.

Po drugie, eksploracja w chmurze zapewnia warstwę anonimowości i zaciemniania cyberprzestępcom. Pozwala im to zdystansować się od bezpośredniego zaangażowania w działalność wydobywczą, utrudniając organom ścigania lub badaczom bezpieczeństwa śledzenie ich działań z powrotem do konkretnych osób lub grup. Wykorzystując usługi w chmurze, atakujący ransomware mogą ukryć swoją prawdziwą tożsamość i lokalizację, co utrudnia przypisanie ich działań.

Ponadto eksploracja w chmurze oferuje skalowalność i elastyczność. Aktorzy wykorzystujący oprogramowanie ransomware mogą łatwo dostosowywać swoje operacje wydobywcze w oparciu o warunki rynkowe lub zmiany celów. Mogą zwiększać lub zmniejszać wynajmowaną moc obliczeniową w zależności od potrzeb, co pozwala im dostosować się do wahań cen kryptowalut lub skupić się na wydobywaniu określonych kryptowalut, które oferują wyższą rentowność.

Co więcej, eksploracja w chmurze umożliwia cyberprzestępcom legitymizację nielegalnie zdobytych środków. Wydobywając kryptowaluty za pośrednictwem usług w chmurze, mogą stworzyć fasadę legalnego dochodu i zamaskować pochodzenie swoich funduszy. Ta technika prania pieniędzy utrudnia śledzenie przepływu środków i powiązanie ich z nielegalnymi działaniami, takimi jak ataki ransomware.

Ogólnie rzecz biorąc, kopanie kryptowalut w chmurze oferuje wygodę, anonimowość, skalowalność i możliwość prania nielegalnych funduszy, co czyni je kuszącą opcją dla cyberprzestępców ransomware, którzy chcą generować przychody i zacierać swoje ślady w świecie cyfrowym.