Аудиторская компания PwC опубликовала доклад о возможной связи киберпреступников, распространявших программу-вымогателя SamSam, с криптобиржей с российскими корнями WEX, а также об использовании WEX российскими спецслужбами.
Иранские умельцы
Граждане Ирана Фарамарз Шахи Саванди и Мохаммед Мехди Шах Мансури с помощью программы-вымогателя SamSam смогли получить около $6 миллионов в биткоинах. Атака продолжалась 34 месяца (почти 3 года). Значительную часть преступных доходов они отмыли через криптобиржу WEX, которая имеет российские корни и считается наследницей прекратившей существование русскоязычной биржи BTC-e.
«Министерство юстиции США и Управление по контролю за иностранными активами (OFAC) обнародовали информацию об иранских гражданах, подозреваемых в распространении вируса-вымогателя SamSam, и об отмывании биткоинов, полученных в качестве выкупа. Мы идентифицировали эти иранские операции по отмыванию денег и увидели связь с биржей WEX (ранее известной как BTC-e). WEX наиболее известна своей предполагаемой причастностью к отмыванию около $4 миллиардов, связями с киберпреступной группировкой Blue Athena и ответственностью за обналичивание 95% всех платежей, полученных программами-вымогателями с 2014 [по 2017]», — говорится в отчете.
Согласно OFAC, Саванди и Мансури выводили биткоины в иранскую валюту с помощью иранских биткоин-бирж, чьими операторами выступали граждане Ирана Мохаммед Горбаниян и Али Хорашадизаде. Горбаниян — единственное контактное лицо криптобиржи enexchanger, которая позволяла обменивать коды WEX на USD, позволяя напрямую выводить деньги с WEX, отмечается в докладе PwC.
Без спецслужб не обошлось
Аналитики PwC также предположили связь BTC-e с российскими спецслужбами.
«У BTC-e была обнаружена еще одна существенная связь — с Главным разведывательным управлением Генерального штаба (ГРУ) России, которое использовало биржу для перевода биткоинов. По данным компании, занимающейся расследованием противоправных действий с криптовалютами, у BTC-e и другой менее известной валютной биржи, предположительно базирующейся в Словакии, имелся канал передачи биткоинов до конечного кошелька, контролируемого подразделением ГРУ 26165, которое PwC идентифицирует как группировку Blue Athena. Методология исследователей основана на информации, содержащейся в обвинительном заключении Министерства юстиции США против членов подразделений ГРУ 26165 и 74455. В этом обвинительном акте указана конкретная дата и количество биткоинов, переданных ГРУ, что позволяет проследить транзакции в публичном блокчейне биткоинов», — отмечается в отчете PWC.