Розслідування TRM Labs про російськомовний даркнет
TRM Labs розслідувала діяльність російськомовних кіберзлочинців у сфері криптовалютних злочинів та обходу міжнародних санкцій. Російськомовні злочинці активно здійснюють різноманітні кібер-злочини: від програм-вимагачів до незаконних криптовалютних бірж і ринків на даркнеті. Але найголовніше, що російські суб’єкти використовують даркнет також для закупівлі військової техніки за допомогою криптовалют. Цей процес дозволяє обійти міжнародні санкції, які забороняють офіційні закупівлі військового обладнання в обхід традиційних фінансових систем. Завдяки анонімності, яку забезпечують даркнет і криптовалюти, російські організації можуть таємно придбати у китайських виробників критично важливі компоненти для власного озброєння. Ці транзакції включають закупівлю безпілотних літальних апаратів, протибезпілотних систем, термальних оптик, інтегральних схем, GPS-модулів та інших компонентів, необхідних для ведення бойових дій в Україні.
Основні цифри
- Програми-вимагачі: У 2023 році російськомовні групи отримали понад 69% всіх доходів від програм-вимагачів, що перевищує 500 мільйонів доларів США. Найбільшими операторами були групи Lockbit та ALPHV/Black Cat, які разом заробили щонайменше 320 мільйонів доларів США.
- Ринки даркнету: У 2023 році 95% усіх криптопов’язаних продажів наркотиків у даркнеті здійснювалися через російськомовні ринки. Найбільшим ринком був Kraken Market, який у 2024 році обробив 1,4 мільярда доларів США в криптовалюті.
- Санкції: У 2023 році на один російський криптовалютний обмінник Garantex припадало 82% обсягів криптовалют, пов’язаних з усіма санкціонованими суб’єктами в світі. Частина цих операцій включає закупівлю російськими суб’єктами військової техніки у китайських виробників для російських збройних сил, які ведуть бойові дії в Україні. Від 2021 року на гаманці, пов’язані з російськими та китайськими суб’єктами, було переведено щонайменше 85 мільйонів доларів США.
Діяльність програм-вимагачів
Програми-вимагачі шифрують файли жертв і вимагають викуп у криптовалюті для отримання ключа дешифрування. Такі атаки часто спрямовані на критично важливі об’єкти, такі як системи охорони здоров’я та інфраструктури. Групи використовують модель «викуп як послуга» (RaaS), що дозволяє швидше розповсюджувати зловмисне програмне забезпечення і збільшувати частоту атак.
LockBit був однією з найактивніших груп програм-вимагачів, доки не був порушений міжнародною правоохоронною операцією у 2024 році. Незважаючи на це, група продовжує свою діяльність, вимагаючи значні викупи. BlackCat/ALPHV використовує складні техніки здвоєного і потроєного вимагання та ускладнює аналіз за рахунок використання мови програмування Rust.
Ринки даркнету
Російськомовні ринки даркнету обслуговують значну частину глобальних продажів наркотиків за криптовалюту. Ці ринки забезпечують високу ефективність за рахунок використання системи закладок або “stash”, що дозволяє здійснювати передачі буквально за хвилини. Крім того, російські постачальники часто закуповують значні обсяги синтетичних прекурсорів наркотиків у китайських виробників.
Санкції та криптовалютні обміни
Garantex, російський криптовалютний обмінник, санкціонований OFAC у квітні 2022 року, складає значну частину обсягів криптовалютних операцій з санкціонованими суб’єктами. Частина цих операцій включає закупівлю російськими суб’єктами військової техніки у китайських виробників для російських збройних сил, які ведуть бойові дії в Україні. Від 2021 року на гаманці, пов’язані з російськими та китайськими суб’єктами, було переведено щонайменше 85 мільйонів доларів США.
Що далі?
Російськомовні кіберзлочинці продовжують бути одними з найактивніших учасників у сфері кіберзлочинності, зокрема через програми-вимагачі, ринки даркнету та незаконні обміни. З огляду на історичні, регуляторні та культурні фактори, які сприяють їхній діяльності, боротьба з цими загрозами є складним і довготривалим процесом. Проте завдяки блокчейн-інструментам розвідки, слідчі мають змогу збирати цінну інформацію про діяльність злочинців та місця їх фізичної інфраструктури.
Повний звіт TRM Labs англійською мовою читайте тут.
