Kada napadači iznuđuju žrtve putem ransomwarea i dobijaju uplate u bitkoinima, te transakcije se beleže na blockchainu. Međutim, novčanici koji primaju ove nezakonite sredstva postaju obeleženi, što podstiče sajberkriminalce da pere novac putem raznih složenih metoda kako bi ostvarili profit od online prevara, krađa i sajbernapada. Pranje novca od sajberkriminala uključuje složene transfere i konverzije između kriptovaluta i zakonitog novca. Praćenje ovih sredstava predstavlja velike izazove za istražitelje. Raúl Orduna, šef odeljenja za Digitalnu Bezbednost u baselskom tehnološkom centru Vicomtech, ističe da ova aktivnost stvara potopljenu, ali široku i složenu globalnu ekonomiju. Ključni problem za napadače nakon sajbernapada jeste kako da dođu do stečenog novca. Prema Izveštaju o sajberkriminalu u kriptovalutama za 2024. godinu, u 2023. godini pranje nezakonito stečenih sredstava povezanih sa kriptovalutama dostiglo je oko 22, 2 milijarde dolara. Tokom protekle godine, ukupna vrednost poslata na nezakonite adrese na blockchainu—digitalne račune za kriptovalute—iznosila je 40, 9 milijardi dolara, a potencijalno bi mogla narasti na 51, 3 milijarde dolara. Sajberkriminalci žele da ove velike nezakonite sume pretvore u „čist novac. “ George Smaragdakis, profesor sajberbezbednosti na Tehničkom univerzitetu u Delftu, objašnjava da napadači obično primaju sredstva u bitkoinu ili drugim kriptovalutama, a zatim pokušavaju da im pristupe anonimno putem razmena ili „miksova. “ Sredstva se kreću kroz više adresa na blockchainu, pri čemu se delovi na kraju unose u stvarnu ekonomiju. Da bismo shvatili ovu mapu pranja novca, potrebno je razjasniti neke pojmove. Smaragdakis i Orduna sarađuju na projektu Horizon, evropskoj inicijativi koja uključuje kompanije, istraživačke centre i policiju, s ciljem jačanja spremnosti EU na sajberpretnje, uključujući razumevanje načina na koji kriminalci zarađuju. U svetu kriptovaluta, novčanik sadrži više adresa na blockchainu koje se koriste za slanje ili primanje sredstava. Iako su transakcije na blockchainu anonimne, njihovi zapisi su javni, što analitičarima omogućava da prepoznaju obrasce pranja novca bez identifikacije vlasnika, kaže Orduna. Istražitelji se fokusiraju na identifikaciju kripto servisa sličnih bankama, ali koji deluju anonimno. Posebnu pažnju posvećuju sistemima poput „escrow“ pametnih ugovora, koji drže sredstva do ispunjenja ugovornih uslova, i mikserima, koji povećavaju anonimnost transakcija tako što zamućuju poreklo sredstava i omogućavaju razmenu između različitih kriptovaluta.

Orduna objašnjava da mikseri otežavaju praćenje izvora plaćanja. Smaragdakis dodaje da, iako je izvor—žrtva—često prepoznatljiv, nakon niza transferta trag se gubi. Sajberkriminalci koriste lakost kreiranja hiljada adresa na blockchainu (za razliku od bankovnih računa, koje je teže otvoriti) da zbune napore na praćenju. Ranije, kriminalci su centralizovali uplate žrtvama na jednu adresu, ali sada dodeljuju jedinstvene adrese po žrtvi, a često i više adresa po jednoj žrtvi, objašnjava Smaragdakis. Ova taktika fragmentira nezakonita sredstva u manje iznose na mnogim adresama, što otežava kontrolu i praćenje. Nakon toga, kriminalci mogu mešati ove izvore sa drugim novcem ili koristiti kazina koja prihvataju kriptovalute. Za minimalne rizike i dobitke, vrše mnoge mikrokladnje, čime „čiste“ novac koji potom mogu da povuku kao zakonit novac, dodaje Orduna. Među mestima za pranje novca su i berze poput Binance ili Coinbase, ali one uglavnom nisu dostupne kriminalcima jer te platforme sprovode politiku sprečavanja pranja novca, tražeći potvrdu identiteta i selfije povezane sa nalogom. Policija može na osnovu sudskog naloga zatražiti informacije o korisnicima, čime odvraća od nezakonitih aktivnosti. Kao alternativa, kriminalci sve češće koriste neregulisane platforme koje oponašaju berze. Orduna upozorava da te platforme, iako nezvanične, pokazuju obrasce transakcija slične legitimnim berzama. Istraživači u Vicomtechu nastoje da prepoznaju takve platforme analizom uzoraka transakcija na blockchainu. Modelovanjem ponašanja legitimnih berzi istraživači razvijaju modele digitalnog ponašanja koji mogu identifikovati sumnjive aktivnosti slične razmeni unutar blockchain mreža. Tim iz Vicomtecha blisko sarađuje sa vlastima, prikupljajući zahteve i primere sumnjivih aktivnosti, stvarajući sintetičke anonimizovane podatke za razvoj i testiranje inteligentnih modela detekcije. Nakon validacije, ti modeli pomažu u stvarnim istragama koje vode nadležne službe. Dok se veći deo istraživanja u sajberbezbednosti fokusira na razumevanje napada, poboljšanje odbrambenih mera i ublažavanje posledica, još jedan važan rad je praćenje tokova nedozvoljenog novca. Ovaj rad je ključan za ometanje kriminalaca u sticanju profita, čime se smanjuje njihova ekonomska motivacija za vršenje sajberkriminala.