När angripare utpressar offer med ransomware och får betalningar i bitcoins, registreras dessa transaktioner på blockkedjan. Dock blir de plånböcker som tar emot dessa olagliga medel märkta, vilket får cyberbrottslingar att tvätta pengarna genom olika komplexa metoder för att kunna göra vinst från nätbedrägerier, stöld och cyberattacker. Tvätt av cyberbrottsliga intäkter innebär förvecklade transaktioner och omvandlingar mellan kryptovalutor och juridiska pengar. Att spåra dessa medel utgör stora utmaningar för utredare. Raúl Orduna, chef för Digital Security vid det baskiska teknikcentret Vicomtech, noterar att denna aktivitet skapar en dold men enorm och komplex global ekonomi. Det avgörande problemet för angripare efter en cyberattack är hur man får tillgång till de insamlade pengarna. Enligt Chainalysis 2024 Crypto Crime Report uppgick tvättningen av olagliga kryptovalutor 2023 till omkring 22, 2 miljarder dollar. Under det senaste året var det totala belopp som skickats till olagliga blockchain-adresser—digitala konton för kryptovalutor—40, 9 miljarder dollar, vilket kan stiga till 51, 3 miljarder dollar. Cyberbrottslingar vill omvandla dessa enorma olagliga summor till rena pengar. George Smaragdakis, professor i cybersäkerhet vid Delft tekniska universitet, förklarar att angripare vanligtvis får medel i bitcoin eller andra kryptovalutor och sedan försöker komma åt dem anonymt via mekanismer som börser eller mixers. Pengarna flyttar sig mellan flera blockchain-adresser, där delar till slut hamnar i den riktiga ekonomin. För att förstå denna tvättarmé krävs vissa förklaringar. Smaragdakis och Orduna samarbetar i Horizon-projektet, ett europeiskt initiativ med företag, forskningscenter och rättsväsende som syftar till att stärka EU:s motståndskraft mot cyberhot, inklusive förståelse för hur brottslingar gör vinst. Inom kryptovalutor innehåller en plånbok flera blockchain-adresser som används för att skicka eller ta emot medel. Även om blockchain-transaktioner är anonyma, är deras register offentliga, vilket gör att analytiker kan upptäcka mönster av penningtvätt utan att identifiera ägarna, säger Orduna.

Utredare fokuserar på att identifiera kryptotjänster som liknar banker men verkar anonymt. De riktar särskild uppmärksamhet mot blockchain-system som escrow-smartkontrakt, som håller medel tills kontraktsvillkoren är uppfyllda, och mixers, som är utformade för att öka anonymiteten i transaktioner genom att dölja ursprunget till medlen och byta mellan olika kryptovalutor. Orduna förklarar att mixers försvårar spårning av betalningskällor. Smaragdakis tillägger att även om källan—offret—ofta är identifierbart, förloras spåret efter många överföringar. Cyberbrottslingar utnyttjar att det är lätt att skapa tusentals blockchain-adresser (till skillnad från bankkonton, som är svårare att öppna) för att förvirra spårningsarbetet. Tidigare centraliserade brottslingar betalningar från offer till en enda adress, men nu tilldelar de unika adresser till varje offer och ofta flera adresser per enskilt offer, förklarar Smaragdakis. Denna taktik delar upp olagliga medel i mindre mängder över många adresser, vilket gör det svårare att kontrollera och övervaka. Därefter kan brottslingar blanda dessa medel med andra pengar eller använda krypto-acceptanta kasinon. Genom att göra många små vadslagningar med minimal risk och vinst "rena" de pengarna, som sedan kan dras ut som lagliga pengar, tillägger Orduna. Växlar som Binance eller Coinbase utgör en annan kanal för tvättning, men är generellt otillgängliga för brottslingar eftersom dessa plattformar kräver verifierad identitet och selfies kopplade till användarkonton, och kan begäras in av rättsväsendet via domstolsbeslut, vilket avskräcker olaglig aktivitet där. Istället vänder sig brottslingar till oreglerade plattformar som efterliknar börser. Orduna varnar för att dessa grupper, trots att de inte är registrerade, visar transaktionsmönster som liknar legitima börser. Forskare vid Vicomtech arbetar för att upptäcka sådana plattformar genom att analysera blockchain-transaktionsmönster. Genom att modellera beteendet hos legitima börser utvecklar utredare digitala beteendemönster för att identifiera olaglig aktivitet som liknar börstransaktioner inom blockchain-nätverk. Vicomtech:s team samarbetar nära myndigheter, samlar in krav och exempel på misstänkt aktivitet, genererar syntetisk anonymiserad data för att bygga och testa intelligenta deteektionsmodeller. När dessa är validerade kan de användas i verkliga utredningar under ledning av behöriga myndigheter. Även om mycket av cybersäkerhetsforskningen fokuserar på att förstå attacker, förbättra försvaret och begränsa brott, är ett annat viktigt arbete att spåra olagliga pengaflöden. Detta arbete är avgörande för att begränsa brottslingars möjlighet att göra vinst, vilket i sin tur minskar deras ekonomiska incitament att bedriva cyberbrottslighet.