Исследование: Биткоины вируса-вымогателя SamSam отмывались через биржу WEX

Компания PricewaterhouseCoopers (PwC), входящая в так называюемую "Большую четвёрку" аудиторских компаний, выпустила специальный отчёт, в котором указала на связь вируса-вымогателя SamSam с печально известной криптовалютной биржей WEX (ранее BTC-e).

В отчёте утверждается, что создатели SamSam, Фарамарз Шахи Саванди и Мохаммад Мехди Шах Мансури (граждане Ирана) использовали WEX для отмывания биткоинов, полученных вирусом-вымогателем. В своём отчёте PwC пишет:

Мы определили, что эта иранская операция по отмыванию денег связана с биржей WEX (ранее известной как BTC-e). WEX наиболее известна своей предполагаемой причастностью к отслеживаемому PwC субъекту, известному как Blue Athena, который несёт ответственность за обналичивание 95% всех платежей, связанных с программой-вымогателем (с 2014 года).

В сентябре прошлого года Министерство юстиции США опубликовало информацию о кампании по вымогательству под названием SamSam, которая, как было установлено, нанесла ущерб на сумму более $30 млн. США и Канаде. Пострадали более 200 человек, в том числе больницы, государственные учреждения и муниципалитеты.

В обвинительном заключении из шести пунктов против Саванди и Мансури утверждается, что они, действуя на территории Ирана, создали SamSam с целью шифрования данных на компьютерах своих жертв. Дуэт получил доступ к компьютерам жертв с помощью различных уязвимостей, которые позволяли им напрямую устанавливать и запускать SamSam. Саванди и Мансури вымогали у жертв биткоины за разблокировку данных. Было отмечено, что дуэт выпустил «улучшенные версии» SamSam в июне и октябре 2017 года.

Предполагается, что WEX/BTC-e стала «горячей точкой» для отмывания денег через криптовалюту — в совокупности более $4 млрд. с 2014 по 2017 год, включая биткоины, связанные со взломом Mt. Gox. Впечатляет, что 95% всех платежей, которые были получены в результате вымогательства в период между 2014 и 2017 годами, считаются отмытыми через BTC-e. «WEX утверждает, что не связана с BTC-e, но дизайн веб-сайта и торговые пары практически идентичны, и она перенесла данные всех пользователей BTC-e после закрытия биржи», — пишет PwC.

Используя информацию, опубликованную Управлением по контролю за иностранными активами Министерства финансов США (OFAC), PwC удалось связать дуэт SamSam с WEX. В частности, в отчёте фигурировали Мохаммад Горбаниян и Али Хорашадизаде, названные OFAC первыми подозреваемыми, которые отмывали биткоины для хакеров SamSam. PwC связывает их с WEX, а также со вторичной биржей в Словакии.

Исследователи утверждают, что биржи в странах со слабыми мерами по борьбе с отмыванием денег получали в 36 раз больше биткоинов, которые связаны с незаконной деятельностью. В докладе также содержится призыв к общественности не выполнять требования вымогателей:

Выплата выкупа считается плохой практикой, поскольку она побуждает субъекта продолжать свою деятельность и не всегда гарантирует, что будет предоставлен ключ дешифрования. Кроме того, выплата выкупа в настоящее время имеет глубокие правовые последствия, поскольку эти действия могут нарушать санкции США.