Fancycat, una organización internacional de delincuentes cibernéticos responsable de delitos ransomware por valor de más de $ 500 millones de dólares, fue infiltrada este verano por las fuerzas de seguridad internacionales en colaboración con Binance, el principal intercambio del mundo.
Unidades de la policía cibernética de Ucrania, Corea, Estados Unidos, España, Suiza y otras que colaboran con la Interpol, intervinieron 21 direcciones en Kiev el pasado mes de junio. Seis miembros de la red de ciberdelincuentes fueron acusados de utilizar software malicioso, conocido como ransomware, en conjunto con otros delitos cibernéticos entre 2019 y 2021. Sus objetivos eran los servidores de empresas coreanas y universidades estadounidenses.
En una publicación del blog en la que se detalla su participación en la operación, Binance dijo que "nuestra constante colaboración con las fuerzas del orden, así como con empresas de seguridad y análisis de blockchain, será una fuerza impulsora para mejorar las medidas de seguridad cibernética en toda la industria de las criptomonedas". Con esto en mente, en el último año, la plataforma de intercambio ha reforzado sus capacidades internas de detección y análisis contra el lavado de dinero (AML).
Las consecuencias fatales del ransomware
Las investigaciones demuestran que la actividad ilícita representa menos del 1% de todas las transacciones de criptomoneda, pero sigue siendo comúnmente utilizada para el ransomware, que es ahora la mayor amenaza para la seguridad en línea de cualquier organización. Además, una de las organizaciones de ransomware más activas, Clop (también conocida como Cl0p), ha aumentado su actividad en 2021, según los investigadores en delincuencia cibernética.
El ransomware se ha utilizado para revelar expedientes médicos, interrumpir las cadenas de suministro y puede tener consecuencias fatales. El año pasado, en Alemania, una mujer murió cuando su ambulancia fue rechazada por el hospital más cercano —el ransomware había paralizado la infraestructura digital que utilizaba para coordinar el tratamiento de emergencia.
Para el lavado de sus ganancias, los delincuentes cibernéticos a menudo recurren a los intercambios de criptomonedas y a los proveedores de servicios de activos virtuales (VASP), lo que arroja una nube sobre toda la industria, según Binance.
Las plataformas, a las que Binance denomina “Intercambios a Prueba de Balas”, a menudo sirven como puntos de salida para las operaciones de criptomonedas relacionadas con delitos financieros y otros fraudes. Por lo general, tienen normas poco estrictas de conocimiento del cliente (KYC) y AML.
Según Binance, "el análisis del blockchain muestra una red de lavadores de dinero que viven dentro de los macro intercambios que se depositan y retiran entre sí para lavar el dinero."
Los datos de Binance analizados por la startup de análisis de blockchain TRM Labs indican que estas plataformas, a menudo ubicadas en regiones con una falta de aplicación de la ley o de regulación, están vinculadas a ataques de ransomware, hackeo a plataformas de intercambio y actividades relacionadas con la darknet.
"El mayor problema de seguridad en la industria hoy en día es el dinero relacionado con ataques cibernéticos que está siendo lavado a través de servicios anidados y cuentas de intercambiadores parásitos que viven dentro de la macro de VASPs, incluyendo plataformas de intercambio como Binance.com", dice el intercambio.
Colaboración permanente
La operación Fancycat no fue la primera participación de Binance en la aplicación de la ley internacional. En 2020 desarrolló el proyecto Bulletproof Exchanger, iniciativa de lucha contra el ransomware en la que Binance colaboró con la policía cibernética de Ucrania.
El año pasado, la operación identificó a un importante grupo de delincuentes informáticos acusado de lavado de dinero por más de $ 42 millones de dólares de fondos ilícitos.
Pero además de continuar colaborando con las autoridades, el intercambio también está enfocado en reforzar sus propios mecanismos de detección, trabajando con TRM, y la firma de análisis Crystal, desarrollada por la empresa de tecnología blockchain Bitfury.
Para contrarrestar la amenaza del ransomware, Binance ha introducido mecanismos para ayudar a identificar y detener la actividad ilícita. Estos mecanismos son creados y gestionados por el equipo Binance Sentry y su división de análisis, el equipo Security Data Science, que identifica las transacciones entre Binance y entidades de alto riesgo.
Por ejemplo, antes de la operación de Fancycat, Binance y sus colaboradores de análisis pudieron analizar la actividad on-chain y lograr una mayor comprensión del conjunto y sus vínculos con el bajo mundo de la delincuencia en general.
Utilizando conjuntos de datos y algoritmos de detección procesados a partir de datos históricos de hackers para identificar actividades potencialmente maliciosas, mapearon la red sospechosa y establecieron que el conjunto estaba vinculado a Clop, así como a otras operaciones de ransomware como Petya. El análisis fue clave para identificar a Fancycat y condujo al arresto de sus miembros, según Binance.
Rastrear delincuentes en la red puede ser un negocio lucrativo. El Departamento de Estado de EE.UU. ofrece a los informantes de la Dark Web recompensas en criptomonedas a cambio de información sobre hackers considerados una amenaza para el país. Alrededor de $10 millones de dólares han sido ofrecidos para esta actividad.
Los equipos de seguridad de Binance ahora están trabajando en la aplicación de técnicas de big data para impulsar la investigación de la seguridad y las investigaciones de actividades delictivas relacionadas con las criptomonedas, según el intercambio.
A través de alianzas con empresas de seguridad y análisis de blockchain, el intercambio dijo que tiene la intención de "la disolución de más grupos criminales para una comunidad más segura en general."