Barracuda full logo

Come fanno i criminali informatici a riciclare le criptovalute?

Argomenti:
21 mag 2025
|
Andrew Sanders

Il peggior risultato possibile si è verificato. Un attacco <a href="/content/barracuda-corp/language-blueprints/it/support/glossary/ransomware.html?utm_source=05212025&utm_medium=blog&utm_campaign=blog">ransomware</a> ha superato più livelli di sicurezza e ha crittografato dati critici per le operazioni. O non esiste un backup per questi dati, o anche i backup dei dati sono crittografati. Nessuna soluzione documentata ti permetterà di invertire la crittografia. Non avendo altra scelta, paghi il riscatto.

Nel complesso, l'industria globale del ransomware ha accumulato centinaia di milioni di dollari in varie criptovalute solo nel 2024. Ma la storia di quel denaro non si ferma qui. Deve essere riciclato — convertito da vincite illegali in un flusso di reddito apparentemente legittimo. Come fanno i cybercriminali a trasformare i loro pagamenti di riscatto in denaro che possono spendere senza paura di essere arrestati?

Camuffare i cattivi attori riciclando i pagamenti di ransomware

Quando la criptovaluta fu originariamente immaginata, fu salutata dai libertari come una valuta parallela decentralizzata che avrebbe permesso ai suoi utenti di nascondere la loro ricchezza e le transazioni dai governi centrali. In un mondo perfetto — da un certo punto di vista — non avresti bisogno di riciclare la criptovaluta. Saresti in grado di possederla e spenderla senza che nessuno sappia che la possiedi.

In realtà, le criptovalute non sono così irrintracciabili come i criminali preferirebbero. Ci sono diversi modi per le forze dell'ordine di districare le transazioni blockchain, smascherare i cybercriminali e effettuare arresti.

  • <b>I dati di attribuzione evidenziano attività criminali</b>: I criminali spesso commettono errori che permettono di essere identificati. Per esempio, supponiamo che un hacker codifichi l'indirizzo per i pagamenti di riscatto nel loro <a href="https://www.barracuda.com/support/glossary/malware?utm_source=05212025&utm_medium=blog&utm_campaign=blog">malware</a>. Questo significa che il portafoglio è indissolubilmente legato ad attività criminali — qualsiasi trasferimento da quel portafoglio è probabilmente collegato allo stesso attaccante. (Un attaccante più intelligente cercherebbe di generare automaticamente un portafoglio unico per ogni istanza di malware.)
  • <b>Estrazione dei dati dalla blockchain per indizi: </b>Un singolo gruppo di ransomware potrebbe possedere centinaia di portafogli di criptovaluta. Ciò rende meno evidente quando il gruppo riceve un gran numero di transazioni a seguito di un attacco. Un algoritmo di apprendimento automatico noto come DBSCAN (clustering spaziale basato sulla densità di applicazioni con rumore) può rivelare le connessioni tra questi portafogli, facilitando l'identificazione dei proprietari.
  • <b>Identificazione delle transazioni di uscita: </b>I criminali alla fine devono convertire la loro criptovaluta in valuta offline per spenderla. Questo a volte comporterà l'interazione con entità - come le banche - soggette a regolamenti internazionali anti-riciclaggio (AML) o know-your-customer (KYC). Una volta che un portafoglio è stato associato ad attività criminali, gli investigatori possono scoprire quando e dove il suo contenuto è stato convertito in valuta. Possono quindi citare in giudizio la banca, l'ente creditizio o l'exchange di criptovalute per scoprire l'identità dell'hacker.

I criminali informatici ora devono adottare misure sempre più elaborate per eludere le forze dell'ordine e spendere i loro guadagni illeciti.

Tre metodi comuni per i criminali informatici per riciclare criptovaluta

Gli hacker sono definiti dalla loro volontà di adattare i loro metodi. Sebbene i governi siano sempre più in grado di svelare le transazioni in criptovaluta, gli hacker hanno adottato diversi modi per rendere questo lavoro più difficile.

  1. <b>Bitcoin non è l'unico gioco in città.</b> Sebbene Bitcoin sia ancora la valuta preferita dagli attaccanti ransomware, altre criptovalute sono progettate con maggiore privacy e sicurezza. Valute come Monero e Tether sono costruite con una serie di funzionalità di privacy che rendono le transazioni molto più difficili da tracciare. Alcuni gruppi ransomware offrono persino sconti alle vittime che sono disposte a <a href="https://www.bankinfosecurity.com/ransom-payments-monero-promises-privacy-bitcoin-dominates-a-18966">pagare in Monero invece che in Bitcoin</a>!  
  2. <b>Perché usare una blockchain quando puoi usarne diverse?</b> Utilizzare una sola blockchain, per quanto sicura, potrebbe non proteggerti dal massimo grado di controllo. È per questo che molti criminali preferiscono la pratica del "chain hopping". Questo avviene quando converti i tuoi Bitcoin in Tether, i tuoi Tether in Monero, i tuoi Monero in Ethereum, e così via. Il vantaggio di questa tecnica è che i ponti cross-chain non sono soggetti alle stesse normative AML delle piattaforme di scambio di criptovalute, il che significa che gli utenti possono rimanere anonimi.
  3. <b>Mischia e abbina criptovaluta in un tumbler.</b> Non importa quante volte cambi tra blockchain, il denaro che hai ricevuto è ancora identificabile come tuo. Ma cosa succederebbe se fosse di qualcun altro? Un tumbler di criptovaluta è un servizio a pagamento che scambia denaro tra proprietari, rendendolo praticamente irrintracciabile.

Poiché i tumbler — noti anche come mixer — sono così efficaci nell'oscurare le origini dei pagamenti di riscatto, sono diventati uno dei metodi più popolari ed efficaci per i criminali informatici per riciclare criptovalute.

Come funzionano i mixer di criptovalute?

Diciamo che Alice, Bob e Charlie possiedono ciascuno una somma di criptovaluta e sono interessati a garantire che nessuno sappia come l'hanno ottenuta. Si avvalgono dei servizi di un miscelatore di criptovaluta.

Ogni utente svuota il proprio portafoglio di criptovaluta nel miscelatore. Il miscelatore scambia il denaro di Alice con quello di Bob e poi scambia il denaro di Bob con quello di Charlie. Quando Alice riceve indietro il suo denaro — meno una piccola commissione che va al miscelatore — la valuta che riceve non contiene nessuna delle somme con cui ha iniziato.

Nella vita reale, questo processo è scalato su migliaia di utenti e ripetuto centinaia di volte. Ciò rende molto difficile determinare l'origine dei fondi rubati. Senza il mixer di criptovalute, ecco cosa vedrebbero le forze dell'ordine quando tracciano la catena delle transazioni.

  1. Una vittima acquista delle criptovalute e le trasferisce a un portafoglio di proprietà di un criminale informatico anonimo.
  2. La criptovaluta si fa strada attraverso alcune decine di portafogli e blockchain aggiuntive, ciascuna di proprietà di utenti più anonimi.
  3. Le forze dell'ordine utilizzano DBSCAN per tracciare queste transazioni dall'inizio alla fine, scoprendo che ciascun portafoglio anonimo è posseduto dallo stesso utente.
  4. Infine, la criptovaluta viene convertita in valuta locale e depositata in un conto intestato ad Alice.
  5. Le forze dell'ordine emettono un mandato di comparizione alla piattaforma di scambio di criptovalute in base alle leggi internazionali KYC e identificano Alice, che viene accusata di crimine informatico.

Non importa quante volte Alice trasferisca il suo denaro, c'è ancora un percorso che la collega al crimine originale. Ma con il tumbler, c'è un nuovo passaggio tra il tre e il quattro. In precedenza, le transazioni in criptovaluta coinvolgevano una singola grande somma di denaro. Ora, l'intera somma viene suddivisa e trasferita ad altri utenti che non avevano nulla a che fare con il crimine originale, e Alice ha il suo denaro di riscatto sostituito con valuta di origine legittima. La traccia finisce con il mixer, e non si può effettuare alcun arresto. 

Come stanno lavorando le forze dell'ordine contro i riciclatori di denaro?

C'è una significativa debolezza nello schema dei mixer di criptovalute: a meno che non si stia cercando di spostare o nascondere denaro illegalmente, difficilmente c'è una ragione legittima per usarne uno. Per questo motivo, le agenzie di applicazione della legge a livello globale hanno deciso di perseguire i tumbler di criptovalute stessi per favoreggiamento e istigazione di crimini finanziari. Ci sono stati numerosi casi di alto profilo negli ultimi anni, tra cui:

  • Nel 2023, un'azienda conosciuta come <a href="https://www.justice.gov/archives/opa/pr/justice-department-investigation-leads-takedown-darknet-cryptocurrency-mixer-processed-over-3">ChipMixer è stata chiusa dai regolatori di Germania e Stati Uniti</a> che hanno sequestrato circa 46 milioni di dollari in Bitcoin.
  • Nel aprile 2024, il CEO e il CTO di Samouri Wallet sono stati <a href="https://www.justice.gov/usao-sdny/pr/founders-and-ceo-cryptocurrency-mixing-service-arrested-and-charged-money-laundering">accusati di aver riciclato oltre 100 milioni di dollari di pagamenti ransomware</a>.
  • Nel dicembre 2024, gli operatori russi di Blender.io e Sinbad.io <a href="https://www.justice.gov/archives/opa/pr/operators-cryptocurrency-mixers-charged-money-laundering">sono stati incriminati a seguito del loro arresto per riciclaggio di denaro</a>.

Il risultato di ciò è stato quello di fornire agli attaccanti ransomware meno luoghi e metodi per nascondere i loro riscatti, rendendo più difficile perseguire questa fonte di reddito.

In che modo Barracuda può essere di aiuto

Una volta che hai pagato un riscatto in criptovaluta, è andato. Anche se le agenzie di polizia globali possono chiudere il mixer di criptovaluta, rintracciare l'attaccante e sequestrare i loro beni, è molto improbabile che il denaro che hai speso torni mai indietro a te.

Pertanto, gli amministratori devono adottare le migliori pratiche per difendersi dai ransomware. Ciò significa implementare protezioni come l'autenticazione multifattore (MFA), una gestione delle patch aggiornata e la microsegmentazione. Servizi come <a href="/content/barracuda-corp/language-blueprints/it/products/managed-xdr.html?utm_source=05212025&utm_medium=blog&utm_campaign=blog">Barracuda Managed XDR</a> possono accelerare il rilevamento delle minacce, proteggere le superfici di attacco e aumentare le vostre risorse. <a href="/content/barracuda-corp/language-blueprints/it/products/managed-xdr/consultation.html?utm_source=05212025&utm_medium=blog&utm_campaign=blog">Pianifica una demo</a> oggi e scopri come possiamo proteggere il tuo ambiente.

Iscriviti al blog Barracuda
Andrew Sanders

Andrew Sanders è un esperto copywriter su argomenti di tecnologia e sicurezza delle informazioni. Ha lavorato in precedenza con Gradient Cyber, Privitar (ora Informatica) e SentinelOne.

Post correlati:
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 I principali attori delle minacce di agosto: Ransomware, spionaggio e infostealers
I principali attori delle minacce di agosto: Ransomware, spionaggio e infostealers
 Malware Brief: phishing ingegnoso, BYOVD e RAT Android
Malware Brief: phishing ingegnoso, BYOVD e RAT Android
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.