Kiedy napastnicy wymuszają na ofiarach ransomware i otrzymują zapłatę w bitcoinach, te transakcje są rejestrowane na blockchainie. Jednak portfele otrzymujące te nielegalne środki stają się oznaczone, co skłania cyberprzestępców do prania pieniędzy różnymi skomplikowanymi metodami, aby osiągnąć zyski z oszustw online, kradzieży i cyberataków. Pranie pieniędzy pochodzących z cyberprzestępstw wymaga zawiłych transferów i konwersji między kryptowalutami a środkami fiat. Śledzenie takich funduszy stanowi poważne wyzwanie dla śledczych. Raúl Orduna, kierownik ds. Bezpieczeństwa cyfrowego w baszkijskim centrum technologii Vicomtech, zauważa, że ta działalność tworzy ukryty, lecz ogromny i skomplikowany globalny ekosystem. Kluczowym problemem dla napastników po cyberAtakach jest dostęp do zabezpieczonych środków. Według raportu Chainalysis Crypto Crime Report 2024, w 2023 roku pranie środków powiązanych z nielegalnymi kryptowalutami osiągnęło około 22, 2 miliarda dolarów. W ubiegłym roku łączna wartość wysłana na nielegalne adresy blockchain—cyfrowe konta kryptowalut—wyniosła 40, 9 miliarda dolarów, z możliwością wzrostu do 51, 3 miliarda dolarów. Cyberprzestępcy dążą do przekształcenia tych olbrzymich nielegalnych sum w czyste pieniądze. George Smaragdakis, profesor cyberbezpieczeństwa na Uniwersytecie Technicznym w Delft, wyjaśnia, że napastnicy zwykle otrzymują środki w bitcoinach lub innych kryptowalutach i starają się uzyskać do nich dostęp anonimowo poprzez mechanizmy takie jak wymiany czy mieszalniki. Fundusze przemieszczają się pomiędzy wieloma adresami blockchain, a ostatecznie część z nich trafia do rzeczywistej gospodarki. Aby zrozumieć tę labyrinthową sieć prania pieniędzy, konieczne jest wyjaśnienie kilku pojęć. Smaragdakis i Orduna współpracują nad projektem Horizon, europejską inicjatywą obejmującą firmy, centra badawcze i organy ścigania, mającą na celu zwiększenie gotowości UE w zakresie cyberzagrożeń, w tym zrozumienie, jak przestępcy czerpią zyski. W kryptowalutach portfel to zbiór wielu adresów blockchain używanych do wysyłania lub odbierania środków. Chociaż transakcje na blockchain są anonimowe, ich zapisy są dostępne publicznie, co umożliwia analitykom wykrywanie wzorców prania pieniędzy bez ujawniania właścicieli—mówi Orduna.

Śledczy skupiają się na identyfikacji usług kryptowalutowych podobnych do banków, ale działających anonimowo. Zwracają szczególną uwagę na systemy blockchain, takie jak escrow smart contracts, które zatrzymują środki do czasu spełnienia warunków umowy, oraz mieszaniki, zaprojektowane w celu zwiększenia anonimowości transakcji poprzez zakrycie źródła funduszy i wymianę między różnymi kryptowalutami. Orduna wyjaśnia, że mieszalniki utrudniają śledzenie źródeł płatności. Smaragdakis dodaje, że choć źródło—czyli ofiara—jest często rozpoznawalne, po wielu transferach ścieżka się gubi. Cyberprzestępcy wykorzystują łatwość tworzenia tysięcy adresów blockchain (w odróżnieniu od kont bankowych, które są trudniejsze do założenia), by zmylić śledczych. Wcześniej przestępcy centralizowali płatności ofiar na jednym adresie, ale obecnie przypisują każdemu ofiarze unikalne adresy, często wiele adresów na jedną osobę, wyjaśnia Smaragdakis. Ta taktyka dzieli nielegalne środki na mniejsze kwoty na wielu adresach, co utrudnia kontrolę i monitorowanie. Następnie przestępcy mogą mieszać te środki z innym pieniędzmi lub korzystać z kasyn kryptowalutowych. Poprzez dokonywanie wielu mikrozakładów z minimalnym ryzykiem i zyskiem, skutecznie „oczyszczają” pieniądze, które potem można wycofać jako legalny środek płatniczy, dodaje Orduna. Giełdy takie jak Binance czy Coinbase stanowią inną drogę do prania pieniędzy, ale zazwyczaj są niedostępne dla przestępców, ponieważ te platformy egzekwują politykę przeciwdziałania praniu pieniędzy, wymagając zweryfikowanych dokumentów tożsamości i selfie powiązanych z kontami. Organy ścigania mogą żądać danych użytkowników na mocy nakazu sądowego, co odstrasza działalność nielegalną na tych platformach. W związku z tym przestępcy zwracają się ku platformom nieuregulowanym, które naśladują giełdy. Orduna ostrzega, że te podmioty, choć nie zarejestrowane, wykazują wzorce transakcji podobne do legalnych giełd. Badacze z Vicomtech starają się wykryć takie platformy poprzez analizę wzorców transakcji blockchain. Modelując zachowanie legalnych giełd, śledczy opracowują modele cyfrowe do identyfikacji nielegalnych działań przypominających wymianę na różnych sieciach blockchain. Zespół Vicomtech ściśle współpracuje z organami, zbierając wymagania i przykłady podejrzanej aktywności, generując sztuczne, zanonimizowane dane do tworzenia i testowania inteligentnych modeli wykrywających. Po zatwierdzeniu, te modele wspomagają prawdziwe dochodzenia prowadzone przez kompetentne organy. Podczas gdy wiele badań nad cyberbezpieczeństwem koncentruje się na rozumieniu ataków, ulepszaniu obrony i ograniczaniu naruszeń, równie ważnym wysiłkiem jest śledzenie przepływów nielegalnych pieniędzy. Ta praca ma kluczowe znaczenie w ograniczaniu zysków przestępców, co zmniejsza ich motywację ekonomiczną do prowadzenia cyberprzestępczości.