Una trasparenza condizionata. I Bitcoin, la prima criptomoneta moderna e la più popolare, ha due caratteristiche che dovrebbero bilanciarsi fra di loro.

Da un lato, gli utenti non hanno bisogno di condividere informazioni personali quando comprano o vendono bitcoin. Per questa ragione, la criptomoneta è spesso utilizzata dai cybercriminali.

D’altra parte, ogni transazione eseguita dagli utenti è pubblica e tracciabile, compensando in teoria la mancanza dei dati personali degli operatori. I flussi di denaro gestiti dalla gang “Hive” mostrano che non sempre è così.

Hive, un’indagine sugli introiti di un gruppo di hacker ransomware

Sequestro di Bitcoin

Sequestro di portafogli Bitcoin

“I Bitcoin sono spesso percepiti come una rete di pagamenti anonimi. Ma in realtà è probabilmente la rete di pagamento più trasparente del mondo”, si legge sul sito bitcoin.org.

In effetti, un utente ha bisogno di aprire un portafoglio per scambiare bitcoin (senza necessità di condividere il suo nome). Il portafoglio ha un indirizzo (un’unica sequenza di caratteri), che consente l’identificazione. Le transazioni fra i portafogli sono registrate in una blockchain pubblica e condivisa, rendendo possibile risalire alle origini di (quasi) ogni somma.

Quindi, anche se le forze dell’ordine non possono conoscere chi si nasconde dietro un portafoglio, possono comunque sapere se il denaro proviene da un’attività criminale scoperta in precedenza. Ogni volta che un importo in bitcoin è considerato illegale, le autorità possono decidere di prenderne possesso (quando i trasferimenti sono eseguiti sotto il controllo di una piattaforma conforme alle leggi).

Secondo la società statunitense Chainalysis, “i governi hanno sequestrato miliardi di dollari in criptovalute dal momento della creazione dei bitcoin. Le forze dell’ordine statunitensi hanno sequestrato almeno 7 miliardi ; la polizia di Londra ne ha sequestrato mezzo miliardo; e le autorità sudamericane, europee e asiatiche hanno fatto perdere altri miliardi ai cybercriminali”.

Eppure, quando si parla di tracciabilità, c’è un grande “però”.

Che cos’è Hive

Hive è un gruppo “ransomware”, simile per tattiche e procedure a “Cl0p” (che abbiamo presentato in un articolo precedente).

Si definisce “ransomware” perché gli hacker infettano un computer o una rete (di solito quella di un’azienda) con un programma malevolo (un malware, da malicious software), bloccando gli accessi o criptando dei dati. In seguito chiedono un riscatto (ransom in inglese) per decriptarli. Il pagamento è richiesto in criptomonete per evitare di condividere i dati dei criminali.

Hive è stato osservato per la prima volta nel giugno del 2021, secondo la società di software Varonis. La stessa società conferma che la gang è organizzata secondo un modello di “Ransomware-as-a-service”(“Raas”, o “Ransomware come servizio” in italiano).

La società statunitense Crowdstrike spiega cos’è il “Ransomware-as-a-service”: un “modello di business fra operatori di ransomware e affiliati, in cui gli affiliati pagano per lanciare attacchi ransomware eseguiti dagli operatori”. In cambio, gli operatori ricevono una percentuale sul riscatto pagato dalla vittima.

Hive mette in atto anche la “doppia estorsione”. Se l’organizzazione colpita non paga il riscatto, gli hacker minacciano di rendere pubblici i dati confidenziali rubati durante l’intrusione. La minaccia si articola in due passaggi:

1) bloccare l’accesso ai file tramite la criptazione;

2) esporre pubblicamente i file della vittima.

Il portale del Dark Web

Hive, come “Cl0p”, ha un portale nel Dark Web per pubblicare i dati delle organizzazioni che non accettano le richieste del gruppo. “HiveLeaks” continua a rendere pubblici i file di alcune società a partire dal 26 giugno del 2021. L’ultima rivelazione è datata 8 giugno 2022.

Il sito ha una sezione dedicata per ogni organizzazione attaccata e non cooperativa. Per ciascuna vittima, si può trovare un link che reindirizza ai file con i dati rubati dagli hacker. In aggiunta, si possono vedere la data della criptazione dei file e la data della loro pubblicazione.

Data e orario della criptazione e della pubblicazione dei file di un’organizzazione colpita, su HiveLeaks

L’intervallo fra la criptazione da parte degli hacker e la pubblicazione sul portale del gruppo varia da 6 mesi a 4 giorni. Può dipendere dai negoziati che l’organizzazione colpita tenta di avviare con i criminali.

Di solito, infatti, la gang invia un messaggio che spiega le modalità per pagare il riscatto. Quando la vittima risponde o clicca su un link presente nella comunicazione, gli hacker fanno partire un conto alla rovescia. Nel momento in cui il timer scade senza che sia stato ricevuto un pagamento, i dati vengono pubblicati.

Sulla destra della sezione dedicata ad ogni organizzazione, si possono trovare due pulsanti che consentono ad ogni visitatore di condividere i dati rispettivamente su Facebook o su Twitter. La minaccia di renderli pubblici è chiaramente una tattica per indurre al pagamento del riscatto.

Gli indirizzi Bitcoin

BLIN Analytics è una societa svizzera che fornisce servizi di indagine e di tracciamento per le blockchain. In una relazione di gennaio 2022, ha identificato 3 indirizzi di portafogli bitcoin segnalati come connessi alla gang Hive (utilizzando il programma “Reactor“, creato da Chainalysis).

Hive richiede i pagamenti delle società che sottostanno al ricatto in criptomonete e successivamente gli hacker spostano gli introiti attraverso portafogli bitcoin. Vedere il percorso del denaro può aiutare a capire come agiscono i criminali.

Il primo indirizzo Bitcoin

Il primo indirizzo condiviso da BLIN Analytics connesso ad Hive è “3JQPmouFTZx4ugAETYgLZPrX3mWZwxEQp9”.

Stando a “Blockchain Explorer”, un motore di ricerca che mostra i movimenti in alcune blockchain, il saldo del portafoglio è 0. Ha ricevuto 18.83687410 BTC (BTC è l’unità monetaria dei Bitcoin) il 17 agosto del 2021 alle 22:55 e ha inviato lo stesso importo, 18.83687410 BTC, il 17 agosto alle 23:55. Non ci sono movimenti ulteriori provenienti dall’indirizzo o destinati ad esso. Il portafoglio sembra creato solo per spostare denaro, forse per nascondere il percorso dei capitali.

Come si è detto, la blockchain è pubblica e traccia ogni movimento. Eppure, monitorare gli spostamenti di denaro con “Blockchain Explorer” è complicato e dispendioso in termini di tempo: le attività possono essere centinaia e il percorso dei trasferimenti può non essere lineare.

Maltego, uno strumento grafico

Uno strumento utile (a pagamento) per tracciare i movimenti e mostrarli in un grafico chiaro è Maltego. E’ molto comune fra investigatori, esperti di sicurezza e società del settore. Maltego mostra le relazioni fra i diversi portafogli di criptomonete, semplicemente inserendo nella ricerca l’indirizzo del portafoglio bitcoin su cui stiamo indagando.

Una ricognizione iniziale a partire da questo indirizzo rende visibili alcuni risultati. Ogni portafoglio collegato alla ricerca (e indicato nel grafico sottostante con un cerchio) ha saldo 0: ha ricevuto il denaro una sola volta e ha inviato la stessa somma dopo un breve lasso di tempo.

Il grafico del flusso di Bitcoin di Hive

In quasi tutti i casi, l’invio ha come destinatari due diversi indirizzi, come mostrano le frecce nel grafico. La somma iniziale è divisa in due:

1) Un importo più alto è destinato ad un determinato portafoglio, da cui poi il denaro viene reinviato ad altri ancora;

2) Un quantitativo più basso è spostato invece su un portafoglio diverso, da cui poi si ripete la stessa procedura: reinvio ad altri portafogli.

Lo stesso schema si ripete decine di volte.

Il secondo indirizzo Bitcoin

Risalendo alle origini del denaro del nostro primo indirizzo, “3JQPmouFTZx4ugAETYgLZPrX3mWZwxEQp9” (contrassegnato da una linea azzurra, sulla destra del grafico), si può vedere che i bitcoin provengono da due portafogli diversi (“19wEP7uMkW2yWsGV8VWZnX2ENSa6RBFKyj” e “bc1q9wmxlul7gku63rdc62fzwsyujtazxwcvrfj7ut”).

[La fonte principale (tracciabile) di questo denaro sembra il portafoglio “3KCWQtzKrCoW5yWa9qjEimnF9ERSgrM3Hg”, che ha gestito circa 400 BTC, inviati ad almeno 45 diversi indirizzi bitcoin].

Il secondo indirizzo identificato da BLIN Analytics come connesso ad Hive, “bc1q8fm0rtjcrn0f8f5325vdmqqecrf9ktqkfyndg6” (l’altro contrassegnato da una linea azzurra, sulla sinistra del grafico), ha l’esatta origine del primo indirizzo che abbiamo analizzato: gli stessi due portafogli.

Il diagramma mostra che il flusso di denaro a partire da questi portafogli iniziali ha una biforcazione e segue due diversi percorsi.

Senza seguire tutte le ramificazioni, si può vedere che alla fine i due flussi si riuniscono in un altro portafoglio: “2bc1qavs90pqayhgxcreudu2rhgns8hfagp3ms8ztl8” (contrassegnato da una linea rossa, in basso nel grafico).

Come negli altri casi, il saldo di quest’ultimo portafoglio è ora 0: ha ricevuto e inviato denaro solo fra il 17 e il 18 agosto 2021, mentre in seguito è rimasto inattivo. Ma a differenza degli altri, questo portafoglio ha inviato denaro ad almeno 117 indirizzi bitcoin diversi, con sole due transazioni in uscita.

Si tratta di un portafoglio “Wasabi”, secondo BLIN Analytics.

Che cos’è Wasabi

Privacy Wallet Wasabi

Wasabi è un portafoglio Bitcoin focalizzato sulla privacy e che implementa il “coinjoin”.

Il coinjoin è un cosiddetto strumento di “mixaggio”. E’ un meccanismo attraverso cui i molti utenti che partecipano combinano il loro denaro in un’unica grande transazione con molteplici origini e molteplici destinazioni.

Un osservatore esterno non dovrebbe essere in grado di determinare quale destinazione appartiene ad una determinata origine, e neanche i partecipanti potrebbero farlo. Dovrebbe essere quindi difficile per parti esterne tracciare da dove proviene una somma di denaro oppure dove è diretta.

Il terzo indirizzo Bitcoin

Il terzo indirizzo identificato da BLIN Analytics come legato ad Hive (indipendente dagli altri due) è “bc1q6m50syqmtw8aln0p0sxxzy7kg8zusrrhy82z05”. Stando a “Blockchain Explorer”, il saldo di questo portafoglio è ancora una volta 0. Ha ricevuto 19.57117772 BTC il 5 agosto 2021 alle 21:01 e ha reinviato lo steso importo, 19.57117772 BTC, il 5 agosto alle 22:04. Successivamente, il portafoglio è rimasto inattivo.

In questo caso, il denaro in uscita è stato suddiviso ancora una volta in due diversi portafogli. Uno di questi, (“bc1qe0uarfexedpa5k20uw042vl3dc3p3lr9m0xdap”), con saldo adesso pari a 0, ha inviato il denaro ad almeno 142 diversi indirizzi bitcoin. Secondo BLIN Analytics, è un altro portafoglio Wasabi.

La sicurezza di Wasabi

BLIN Analytics informava in gennaio che “gli schemi di comportamento e gli errori dell’utente Wasabi permettono di connetere i depositi e i prelievi nella catena delle transazioni Coinjoin”.

In febbraio, un articolo su Forbes della giornalista Laura Shin ha rivelato la possibilità sviluppata da ChainAlysis di “de-mixare” le transazioni Wasabi, rendendo possibile rintracciare i movimenti.

Dopo questo annuncio, il primo concorrente di Wasabi, Samourai Wallet, aveva accusato il creatore di Wasabi Wallet, Nopara, di aver fatto un buco nell’acqua.

In effetti, Wasabi non applicava la tecnica cosiddetta “ZeroLink”, rendendo in qualche modo rilevabile il flusso di denaro. La tenica di mixing “ZeroLink” richiede che non ci siano collegamenti fra indirizzi bitcoin mixati e non mixati. Wasabi invece li mescolava, lasciando delle tracce: il mixaggio era inutile.

Lo scorso 15 giugno i creatori di Wasabi hanno annunciato il lancio di un servizio rinnovato: Wasabi Wallet 2.0, “che dà inizio a una nuova era della privacy nei Bitcoin”, recita il sito ufficiale. Difficile dire se qualcosa cambierà.

Comunque, altri mixer sono certamente più sicuri. “Samurai Wallet usa Whirlpool, un’implementazione del coinjoin ZeroLink, creato dallo stesso servizio”, spiega il sito giornalistico Protos. “Questo protocollo mescola transazioni da cinque diversi partecipanti durante ogni mixaggio per creare 1,496 possibili interpretazioni per ciascuna operazione”.

Cosa fare con i fondi illegali

“Il riciclaggio di denaro non è altro che il trasferimento di denaro, e ogni trasferimento lascia un percorso indelebile”, scrive il finanziere britannico Bill Browder nel suo libro del 2022 “Freezing Order”.

Quando ci sono abbastanza prove di un flusso illegale di Bitcoin, “gli inquirenti si coordinano con le piattaforme in cui sono conservate le criptomonete, o per trasferirle in un portafoglio controllato dal governo o per implementare un congelamento dei beni indefinito”, rivela Chainalysis.

Eppure, i servizi di mixaggio possono ridurre la certezza del percorso dei bitcoin alla semplice probabilità. Le tracce dei trasferimenti possono come minimo essere offuscate. La piena trasparenza dei bitcoin è ancora solo un desiderio.

 

What is your reaction?

Excited
1
Happy
0
In Love
0
Not Sure
0
Silly
0

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Leggi anche