Keď útočníci vydierajú obete prostredníctvom ransomvéru a prijímajú platby v bitcoinoch, tieto transakcie sú zaznamenané na blockchaine. Avšak peňaženky prijímajúce tieto nelegálne finančné prostriedky sa označujú, čo vedie kyberzločincov k legalizácii peňazí rôznymi zložitými metódami, aby mohli dosiahnuť zisk z online podvodov, krádeží a kyberútokov. Legalizácia výnosov z kyberkriminality zahŕňa zložité prevody a konverzie medzi kryptomenami a legálnymi menami. Sledovanie týchto finančných prostriedkov predstavuje pre vyšetrovateľov značnú výzvu. Raúl Orduna, vedúci oddelenia digitálnej bezpečnosti v baskickom technologickom centre Vicomtech, upozorňuje, že táto činnosť vytvára skrytú, no rozsiahlu a zložitú globálnu ekonomiku. Kľúčovou otázkou po kyberútoku pre útočníkov je, ako sa dostať k získaným peniazom. Podľa správy Chainalysis o kryptomenových trestných činoch za rok 2024 dosiahla legalizácia nelegitímnych fondov viazaných na kryptomeny v roku 2023 približne 22, 2 miliardy dolárov. Za uplynulý rok bolo na nelegálne blockchainové adresy – digitálne účty pre kryptomeny – poslovených celkovo 40, 9 miliardy dolárov, pričom tento objem sa mohol zvýšiť na 51, 3 miliardy dolárov. Kyberzločinci sa snažia premeniť tieto rozsiahle nelegálne sumy na čisté peniaze. George Smaragdakis, profesor kybernetickej bezpečnosti na Technickej univerzite v Delfte, vysvetľuje, že útočníci zvyčajne dostávajú prostriedky v bitcoinoch alebo iných kryptomenách a následne sa snažia k nim anonymne dostať prostredníctvom výmenníkov alebo zmiešavačov. Finančné prostriedky sa pohybujú po viacerých blockchainových adresách, pričom časti nakoniec vstupujú do reálnej ekonomiky. Na pochopenie tohto labyrintu legalizácie je potrebné objasniť niektoré pojmy. Smaragdakis a Orduna spolupracujú na projekte Horizon, európskej iniciatíve, ktorá zahŕňa firmy, výskumné centrá a orgány činné v trestnom konaní s cieľom posilniť odolnosť EÚ voči kyberhrozbám, vrátane porozumenia spôsobom, akými zločinci profitujú. V kryptomenách obsahuje peňaženka viacero blockchainových adries, ktoré sa používajú na odosielanie alebo prijímanie finančných prostriedkov. Hoci sú blockchainové transakcie anonymné, ich záznamy sú verejné, čo umožňuje analytikom odhaliť vzory prania špinavých peňazí, bez identifikácie vlastníkov, uvádza Orduna. Vyšetrovateľia sa zameriavajú na identifikáciu kryptoslužieb podobných bankám, ale pôsobiacich anonymne. Venovať pozornosť je potrebné systémom ako escrow smart contracts, ktoré držia finančné prostriedky do splnenia podmienok dohody, a zmiešavačom, ktoré zvyšujú anonymitu transakcií zakrývaním pôvodu fondov a výmenou medzi rôznymi kryptomenami.

Orduna vysvetľuje, že zmiešavače sťažujú sledovanie pôvodu platieb. Smaragdakis dodáva, že hoci je zdroj – obeť – často identifikovateľný, po niekoľkých prevodoch sa sledovanie stráca. Kyberzločinci využívajú ľahkosť tvorby tisícok blockchainových adries (na rozdiel od bankových účtov, ktoré sú ťažšie na založenie), aby zmätkli sledovacie snahy. Skôr centrálne zhromažďovali výplaty obetí na jednom konte, teraz však často pridelia každému obetovi vlastnú adresu a dokonca niekoľko adries na jedného obeť, vysvetľuje Smaragdakis. Táto taktika rozdeľuje nelegálne financie na menšie čiastky roztrúsené na mnoho adries, čo sťažuje kontrolu a monitorovanie. Ďalej môžu zločinci tieto prostriedky miešať s inými peniazmi alebo ich využiť v kasínach, ktoré akceptujú kryptomeny. Vytváraním mnohých mikro-stávok s minimálnym rizikom a ziskom efektívne „čistia“ peniaze, ktoré sa potom dajú vybrať ako legálna mena, pridáva Orduna. Vymenníky ako Binance alebo Coinbase predstavujú ďalšiu možnosť prania, avšak zvyčajne sú pre zločincov nedostupné, pretože tieto platformy vynucujú pravidlá proti praniu špinavých peňazí, vyžadujúc overenie identity, vrátane dokladov totožnosti a selfie fotografií prepojených s používateľskými účtami. Orgány činné v trestnom konaní môžu požadovať informácie o používateľoch na základe súdneho príkazu, čo odrádza od nelegálnej činnosti. Preto sa zločinci obracajú na neregulované platformy, ktoré napodobňujú výmenníky. Orduna varuje, že tieto subjekty, hoci nie sú registrované, vykazujú vzory transakcií podobné legitímnym výmenníkom. Výskumníci v Vicomtech sa snažia odhaliť takéto platformy analýzou blockchainových transakčných vzorov. Modelovaním správania legálnych výmenníkov vyvíjajú vyšetrovacie tímy digitálne modely, ktoré identifikujú nelegitímne aktivity podobné výmenám naprieč blockchainovými sieťami. Tím v Vicomtech úzko spolupracuje s orgánmi, zhromažďuje požiadavky a príklady podozrivých aktivít, vytvára syntetické anonymizované údaje na výstavbu a testovanie inteligentných detekčných modelov. Po ich overení tieto modely pomáhajú pri reálnych vyšetrovaniach, ktoré vedú kompetentné orgány. Hoci veľká časť výskumu v oblasti kybernetickej bezpečnosti sa zameriava na pochopenie útokov, zlepšovanie obrany a zmierňovanie následkov breachov, ďalším dôležitým úsilím je sledovanie toku nelegálnych peňazí. Táto práca je kľúčová na to, aby zločinci nemohli ľahko profitovať, čím sa znižuje ich ekonomický motivátor na páchanie kyberkriminality.