Kada napadači iznuđuju žrtve ransomwareom i primaju plaćanja u bitcoinima, te transakcije se bilježe na blockchainu. Međutim, novčanici koji primaju ove nezakonite fondove postaju označeni, što potiče cyberkriminalce da perve novac putem raznih složenih metoda kako bi ostvarili profit od online prevara, krađa i cybernapada. Pranje novca od cyberkriminala uključuje složene transfere i konverzije između kriptovaluta i pravnog novca. Praćenje ovih fondova predstavlja značajne izazove za istražitelje. Raúl Orduna, šef digitalne sigurnosti u baselskom tehnološkom centru Vicomtech, napominje da ova aktivnost stvara potonulu, ali veliku i složenu globalnu ekonomiju. Ključno pitanje za napadače nakon cybernapada je kako doći do stečenog novca. Prema Izvještaju o kripto kriminalu za 2024. godinu Chainalysis-a, u 2023. pranje nezakonitih sredstava povezanih s kriptovalutama dosegnulo je otprilike 22, 2 milijarde dolara. U prošloj godini, ukupna vrijednost poslata na nezakonite blockchain adrese—digitalne račune za kriptovalute—iznosila je 40, 9 milijardi dolara, s mogućnošću da naraste do 51, 3 milijarde. Cyberkriminalci ciljaju da ove velike nezakonite sume pretvore u čiste novce. George Smaragdakis, profesor sajber sigurnosti na Tehničkom univerzitetu u Delft, objašnjava da napadači obično primaju sredstva u bitcoinima ili drugim kriptovalutama, a zatim pokušavaju da im pristupe anonimno putem mehanizama poput razmjena ili mixera. Sredstva se kreću kroz više blockchain adresa, pri čemu neki dijelovi na kraju ulaze u stvarnu ekonomiju. Da bismo razumjeli ovaj lavirint pranja, potrebno je razjasniti određene pojmove. Smaragdakis i Orduna surađuju na projektu Horizon, evropskoj inicijativi koja uključuje kompanije, istraživačke centre i pravosudne organe s ciljem jačanja EU spremnosti za cyber prijetnje, uključujući razumijevanje kako kriminalci profitiraju. U kriptovalutama, novčanik sadrži više blockchain adresa koje se koriste za slanje ili primanje sredstava. Iako su blockchain transakcije anonimne, njihovi zapisi su javni, što omogućava analitičarima da prepoznaju obrasce pranja novca bez identifikacije vlasnika, kaže Orduna.

Istražitelji se fokusiraju na identifikaciju kripto usluga koje su slične bankama, ali funkcionišu anonimno. Posebnu pažnju posvećuju blockchain sistemima poput escrow pametnih ugovora, koji drže sredstva dok se ne ispune uvjeti ugovora, i mixerima, koji povećavaju anonimnost transakcija time što zamagljuju porijeklo sredstava i omogućavaju razmjenu između različitih vrsta kriptovaluta. Orduna objašnjava da mixer-i otežavaju praćenje izvora plaćanja. Smaragdakis dodaje da je, iako je izvor—žrtva—često prepoznatljiv, nakon niza prenosa tragovi se gube. Cyberkriminalci iskorištavaju lakoću kreiranja hiljada blockchain adresa (za razliku od bankovnih računa, koje je teže otvoriti) da bi zbunili pokušaje praćenja. Ranije su kriminalci centralizovali plaćanja žrtvi na jednu adresu, ali sada dodjeljuju jedinstvene adrese za svaku žrtvu, a često i više adresa po jednoj žrtvi, objašnjava Smaragdakis. Ova taktika fragmentira nezakonite fondove u manje iznose na mnogim adresama, čime se otežava kontrola i nadzor. Dalje, kriminalci mogu miješati ove fondove s drugim novcem ili koristiti kasina koja prihvataju kriptovalute. Izvršavajući mnogo mikro opklada s minimalnim rizikom i profitom, efikasno “čiste” novac koji zatim mogu povući kao legalni novac, dodaje Orduna. Berze poput Binance ili Coinbase predstavljaju još jednu mogućnost pranja novca, ali su uglavnom nedostupne kriminalcima jer ove platforme primjenjuju politike sprječavanja pranja novca, zahtijevajući verifikaciju identiteta, lične i selfie fotografije povezane s korisničkim računima. Policija putem sudskog naloga može zatražiti informacije korisnika, čime se odvraća nezakonite aktivnosti. Zbog toga se kriminalci okreću neregulisanim platformama koje oponašaju berze. Orduna upozorava da, iako nisu registrovane, ove platforme prikazuju obrasce transakcija slične legitimnim berzama. Istraživači u Vicomtechu nastoje otkriti takve platforme analizom obrazaca transakcija na blockchainu. Modeliranjem ponašanja legitimiziranih berzi, istražitelji razvijaju digitalne modele ponašanja za identifikaciju sličnih nepravilnosti na blockchain mrežama. Tim iz Vicomtech-a blisko surađuje s vlastima, prikupljajući zahtjeve i primjere sumnjive aktivnosti, te generišući sintetičke, anonimne podatke za razvoj i testiranje inteligentnih detekcijskih modela. Nakon provjere i potvrde, ti modeli pomažu u pravim istragama koje vode nadležni organi. Dok veći dio istraživanja sajber sigurnosti fokusira na razumijevanje napada, poboljšanje odbrambenih mjera i smanjenje broja sigurnosnih proboja, još jedan važan rad je praćenje toka nezakonitih novčanih sredstava. Ovaj rad je ključan za sprječavanje kriminalaca u profitu, čime se smanjuje njihova ekonomska motivacija za vršenje cyberkriminala.