Como é que os cibercriminosos lavam criptomoedas?

O pior resultado possível ocorreu. Um ataque de ransomware ultrapassou múltiplas camadas de segurança e encriptou dados críticos para a missão. Ou não existe backup para estes dados, ou os backups de dados estão também encriptados. Não existe nenhuma correção documentada que permita reverter a encriptação. Sem outra escolha, paga o resgate.

Em agregado, a indústria global de ransomware acumulou centenas de milhões de dólares em várias criptomoedas apenas em 2024. Mas a história desse dinheiro não termina aí. É necessário lavá-lo — convertê-lo de ganhos ilegais em uma fonte de rendimento aparentemente legítima. Como é que os cibercriminosos transformam os seus pagamentos de resgate em dinheiro que podem gastar sem receio de serem presos?

Disfarçar maus atores através da lavagem de pagamentos de ransomware

Quando a criptomoeda foi originalmente imaginada, foi saudada por libertários como uma moeda paralela descentralizada que permitiria aos seus utilizadores ocultar a sua riqueza e transações dos governos centrais. Num mundo perfeito — de um certo ponto de vista — não precisarias de lavar criptomoeda. Poderias possuí-la e gastá-la sem que ninguém soubesse que a tinhas.

Na realidade, a criptomoeda não é tão impossível de rastrear como os criminosos prefeririam. Existem várias maneiras para as agências de aplicação da lei desvendarem transações em blockchain, desmascararem atacantes de ransomware e efetuarem prisões.

• Os dados de atribuição destacam a atividade criminosa: Os criminosos muitas vezes cometem erros que permitem a sua identificação. Por exemplo, imaginemos que um hacker codifica de forma fixa o endereço para pagamentos de resgate no seu malware. Isto significa que a carteira está inextricavelmente ligada à atividade criminosa — qualquer transferência a partir dessa carteira está provavelmente ligada ao mesmo atacante. (Um atacante mais astuto tentaria gerar automaticamente uma carteira única para cada instância de malware.)
• Mineração de dados na blockchain para pistas: Um único grupo de ransomware pode possuir centenas de carteiras de criptomoeda. Isto torna menos óbvio quando o grupo recebe um grande número de transações após um ataque. Um algoritmo de aprendizagem automática conhecido como DBSCAN (agrupamento espacial de aplicações com ruído baseado em densidade) pode revelar as ligações entre estas carteiras, tornando mais fácil desvendar os proprietários.
• Identificação de transações de saída: Os criminosos eventualmente precisam converter a sua criptomoeda em moeda offline para poder gastá-la. Isto por vezes envolve lidar com entidades — como bancos — que estão sujeitas a regulamentos internacionais de combate à lavagem de dinheiro (AML) ou conheça o seu cliente (KYC). Uma vez que uma carteira tenha sido associada a atividade criminosa, os investigadores podem descobrir quando e onde o seu conteúdo foi convertido em moeda. Podem então intimar o banco, credor ou corretora de criptomoeda para revelar a identidade do hacker.

Os cibercriminosos agora precisam tomar medidas cada vez mais elaboradas para escapar das autoridades e gastar os seus ganhos ilícitos.

Três métodos comuns para cibercriminosos lavarem criptomoeda

Os hackers são definidos pela sua disposição em adaptar os seus métodos. Embora os governos estejam cada vez mais capazes de desvendar transações de criptomoedas, os hackers adotaram várias formas de tornar este trabalho mais difícil.

1. Bitcoin não é o único jogo na cidade. Embora o Bitcoin ainda seja a moeda preferida dos atacantes de ransomware, outras criptomoedas são concebidas com mais privacidade e segurança em mente. Moedas como Monero e Tether são construídas com uma série de funcionalidades de privacidade que tornam as transações muito mais difíceis de rastrear. Alguns grupos de ransomware até oferecem descontos às vítimas que estejam dispostas a pagar em Monero em vez de Bitcoin!  
2. Porque usar uma blockchain quando se pode usar várias? Usar uma única blockchain, por mais segura que seja, pode não proteger contra o mais alto grau de escrutínio. É por isso que muitos criminosos preferem a prática do "chain hopping". Isto acontece quando se converte Bitcoin em Tether, Tether em Monero, Monero em Ethereum, e assim sucessivamente. A vantagem desta técnica é que as pontes entre blockchains não estão sujeitas às mesmas regulamentações AML que as exchanges de criptomoedas, o que significa que os utilizadores podem permanecer anónimos.
3. Misturar e combinar criptomoeda num misturador. Não importa quantas vezes troque entre blockchains, o dinheiro que recebeu ainda é identificavelmente seu. Mas e se fosse de outra pessoa? Um misturador de criptomoedas é um serviço pago que troca dinheiro entre proprietários, tornando-o praticamente impossível de rastrear.

Como os tumblers — também conhecidos como mixers — são tão eficazes a ocultar as origens dos pagamentos de resgate, tornaram-se num dos métodos mais populares e eficazes para os cibercriminosos lavarem criptomoeda.

Como funcionam os misturadores de criptomoedas?

Digamos que Alice, Bob e Charlie possuem uma quantia de criptomoeda, e cada um deles está interessado em garantir que ninguém saiba como a obtiveram. Eles contratam os serviços de um misturador de criptomoedas.

Cada utilizador esvazia a sua carteira de criptomoedas no misturador. O misturador troca o dinheiro da Alice pelo dinheiro do Bob e depois troca o dinheiro do Bob pelo dinheiro do Charlie. Quando a Alice recebe de volta o seu dinheiro — menos uma pequena taxa que vai para o misturador — a moeda que recebe não contém nenhuma do dinheiro com que começou.

Na vida real, este processo é escalado para milhares de utilizadores e repetido centenas de vezes. Isto torna muito difícil determinar a origem dos fundos roubados. Sem o misturador de criptomoeda, eis o que as autoridades veriam ao seguirem a cadeia de transações.

1. Uma vítima compra alguma criptomoeda e transfere-a para uma carteira pertencente a um cibercriminoso anónimo.
2. A criptomoeda percorre algumas dezenas de carteiras e blockchains adicionais, cada uma pertencente a utilizadores mais anónimos.
3. As autoridades utilizam o DBSCAN para rastrear estas transações do início ao fim, descobrindo que cada carteira anónima pertence ao mesmo utilizador.
4. Finalmente, a criptomoeda é convertida em moeda local e depositada numa conta pertencente à Alice.
5. As autoridades judiciais emitem uma intimação à bolsa de criptomoedas ao abrigo das leis internacionais de KYC e identificam Alice, que é acusada de cibercrime.

Não importa quantas vezes a Alice transfira o seu dinheiro, ainda há um caminho que a liga ao crime original. Mas com o misturador, há um novo passo entre três e quatro. Anteriormente, as transações de criptomoeda envolviam uma única grande soma de dinheiro. Agora, toda essa soma é dividida e transferida para outros utilizadores que não tinham nada a ver com o crime original, e o dinheiro do resgate da Alice é substituído por moeda de origem legítima. O rasto termina com o misturador, e não pode ser feita nenhuma detenção.

Como estão as autoridades policiais a trabalhar contra os branqueadores de capitais?

Há uma fraqueza significativa no esquema de misturadores de criptomoedas: a menos que esteja a tentar mover ou esconder dinheiro ilegalmente, dificilmente há uma razão legítima para usar um. Por essa razão, as agências globais de aplicação da lei decidiram ir atrás dos próprios misturadores de criptomoedas por ajudar e encorajar crimes financeiros. Houve vários casos de alto perfil nos últimos anos, incluindo:

• Em 2023, uma empresa conhecida como ChipMixer foi encerrada por reguladores da Alemanha e dos E.U.A. que apreenderam aproximadamente $46 milhões em Bitcoin.
• Em abril de 2024, o CEO e o CTO da Samouri Wallet foram acusados de branqueamento de mais de $100 milhões de pagamentos de ransomware.
• Em dezembro de 2024, os operadores russos da Blender.io e Sinbad.io foram indiciados após a sua detenção por branqueamento de capitais .

O resultado disto tem sido dar aos atacantes de ransomware menos lugares e métodos para esconder os seus resgates, tornando mais difícil perseguir esta fonte de receita.

Como a Barracuda pode ajudar

Depois de pagar um resgate em criptomoeda, o dinheiro desaparece. Mesmo que as agências de aplicação da lei a nível global encerrem o misturador de criptomoedas, rastreiem o atacante e apreendam os seus bens, é muito pouco provável que o dinheiro que gastou volte alguma vez para si.

Portanto, os administradores precisam adotar as melhores práticas para se defender contra ransomware. Isto significa implementar proteções como autenticação multifator (MFA), gestão de patches atualizada e microsegmentação. Serviços como Barracuda Managed XDR podem acelerar a deteção de ameaças, proteger as suas superfícies de ataque e aumentar os seus recursos. Agende uma demonstração hoje e saiba como podemos proteger o seu ambiente.