Przez lata nielegalna usługa miksowania Cryptomixer pomagała zachować anonimowość hakerów i handlarzy, szyfrując transakcje dotyczące zasobów cyfrowych. Właśnie dokonano nalotu na cyfrową pralnię samoobsługową.
Do nalotu doszło w Zurychu w Szwajcarii w dniach 24–28 listopada. Współpraca władz Szwajcarii, Niemiec iEuropol pomógł położyć dywanik na służbie. Skonfiskowali trzy serwery i domenę „cryptomixer.io”, przewożąc BTC o wartości 25 milionów euro i ponad 12 terabajtów (TB) danych.
Jak działał kryptomikser
Źli aktorzy używają mikserów, aby ukryć skradzione fundusze, a następnie kierują „oczyszczone” aktywa na legalne giełdy. Stamtąd mogą wymieniać Bitcoin na inne kryptowaluty lub wypłacać je za pośrednictwem bankomatów lub rachunków bankowych.
Cryptomixer działał jako usługa hybrydowa. Można było uzyskać do niego dostęp zarówno za pośrednictwem zwykłego Internetu, jak i ciemnej sieci. Ta elastyczność sprawiła, że stał się niezwykle popularny wśród przestępców. Usługa ta była szczególnie obsługiwana przez fora podziemnej gospodarki, grupy zajmujące się oprogramowaniem ransomware, a także bazary w ciemnej sieci.
Kiedy źli aktorzy zarabiają pieniądze na handlu narkotykami lubataki ransomware, blockchain widzi swój ślad. Wszystkie transakcje są rejestrowane, dzięki czemu możliwe jest ich śledzenie. Oprogramowanie Cryptomixer blokowało tę identyfikowalność. Mieszano i tasowano fundusze, aż do momentu, gdy pierwotne źródło stało się prawie niemożliwe do zidentyfikowania.
Dzięki temu stała się platformą najczęściej wybieraną przez cyberprzestępców piorących nielegalne zyski. Handel narkotykami, sprzedaż broni, ataki oprogramowania ransomware, oszustwa związane z kartami płatniczymi – wszystko to w pewnym momencie przeszło przez Cryptomixer. Skala jest oszałamiająca. Od czasu jego powstania w 2016 r. przez usługę przeszło ponad 1,3 miliarda euro (około 1,4 miliarda dolarów) w Bitcoinach.
Wzór międzynarodowych powaleń
To nie pierwsze rodeo Europolu z wirtualnymi mieszańcami aktywów.W marcu 2023 rwładze zainteresowały się podobną usługą miksowania, ChipMixer. Łącząc ręce, władze Niemiec i USA włączyły się do dochodzenia i uzyskały wsparcie ze strony Belgii, Szwajcarii, Polski, a także Europolu.
Operacja ChipMixer zakończyła się podobnie pomyślnie. To atak jest częścią szerszej (i nasilającej się globalnej) kampanii przeciwko finansowemu systemowi ciemnej sieci. W październiku, jego roku, skoordynowane wysiłki międzynarodowe doprowadziły do demontażugłówny węzeł kryptograficzny ciemnej sieci prowadzony przez AFM(Agencja Monitoringu Finansowego Kazachstanu). Uwydatniło to systematyczne atakowanie tych kluczowych służb przestępczych.
Tym razem organy ścigania zniszczyły całą infrastrukturę i przejęły cztery serwery. Skonfiskowali dane o wielkości do 7 terabajtów i przejęli wówczas 1909,4 BTC o wartości około 47,3 mln dolarów w ramach 55 różnych transakcji.
Po rozprawieniu się z Cryptomixerem organy ścigania umieściły na stronie internetowej „baner dotyczący zajęcia”, wysyłając wyraźne powiadomienie do każdego, kto spróbuje uzyskać dostęp do usługi. Jednocześnie stanowi ostrzeżenie dla innych podmiotów działających w tym sektorze.
Likwidacja Cryptomixera zadaje ogromny cios infrastrukturze cyberprzestępczości. Kluczowa kryjówka złych aktorów, takich jak grupy oprogramowania ransomware, zostaje utracona. Wyłudzanie pieniędzy może stać się kłopotliwe. Dlaciemne bazary internetowe, jest to utrata „pewnego” kanału prania. Z drugiej strony władze odzyskały 12 TB danych. W dłuższej perspektywie może to prowadzić do dalszych i wielokrotnych dochodzeń, biorąc pod uwagę treść danych.
Te międzynarodowe operacje pokazują, że niezależnie od tego, czy ciemna sieć istnieje, czy nie, anonimowość ma luki. Współpracując, władze mogą wyławiać, śledzić i eliminować te usługi niezależnie od ich jurysdykcji operacyjnej. Strategia ta jest stosowana konsekwentnie, co widać na przykładzieLikwidacja usługi Safe-Inet VPN w 2024 r. przez Europol i FBI, co usunęło kolejne kluczowe narzędzie z zestawu narzędzi cyberprzestępczych.