Las direcciones de WannaCry fueron vaciadas cuando se empezó a especular de donde venía el dinero. Mientras tanto, el héroe del día que inhabilitó los ataques iniciales es detenido apenas un día antes.
Retiro de efectivo
Apenas meses después del ataque ransomware de WannaCry que golpeó todos los rincones del mundo, los hackers detrás de la ley han movido más de $140.000 de Bitcoins que recogieron como rescate de las billeteras iniciales.
Un bot de twitter establecido por Keith Richards de Quartz señaló los movimientos de grandes sumas el 3 de agosto. Poco después de que el saldo de las billeteras conocidas de WannaCry cayó a cero. Las compañías de Fedex a Nissan y al Servicio Nacional de Salud del Reino Unido fueron atacadas.
? 10.06868926 BTC ($27,514.04 USD) has just been withdrawn from a bitcoin wallet tied to #wcry ransomware. https://t.co/CJLiu6cyvr
— actual ransom (@actual_ransom) August 3, 2017
-(10.06868926 BTC ($ 27.514,04 USD) acaban de ser retirado de una billetera de bitcoin vinculada a #wcry ransomware).
— rescate real (@actual_ransom) 3 de agosto de 2017
Este no es el primer paso de los fondos como señala la elíptica.
La compañía monitorea las billeteras de Bitcoin y proporciona datos abiertamente disponibles. Como se ve a continuación durante unos 10 días a partir del 12 de mayo, las direcciones del atacante aumentaron de casi cero a $139.000.
Las empresas y las organizaciones que no podían permitirse el lujo de tener sus sistemas fuera de línea y los datos cifrados se vieron obligados a pagar rápidamente de $300 a $600 para descifrar sus sistemas.
Esto podría llegar a decenas de miles para una sola organización. A partir del 24 de julio los fondos comenzaron a ser trasladados y finalmente el 3 de agosto más de 120.000 dólares restantes fueron movidos en un solo día.
Las sumas generalmente se movían en lotes de alrededor de $20-27.000 Bitcoins hasta que se agotaron completamente.
Andy Patel, de F-Secure, no tiene una idea clara de por qué mover el dinero. Un factor clave de las transacciones de Bitcoin es que son pseudónimos. A pesar de no ser anónimo, no hay forma de saber quién controla las claves de las direcciones.
"No tengo ni idea de por qué moverían el dinero ... No he hubiese imaginado que iban a tratar de convertir esos Bitcoins en dinero real. Si lo hacen, le dará a alguien alguna pista hacia una persona real. va a darle a alguien una pista a una persona real. " dijo Patel a la BBC.
Siguiendo el dinero
Alan Woodward, que actúa como asesor de seguridad cibernética de Europol, señala que muchos asumen que Bitcoin es anónimo -lo que es muy diferente de ser pseudónimo. El libro mayor de Bitcoin es totalmente visible para todos.
Él continúa explicando que el "análisis del cluster" es una técnica usada para intentar localizar direcciones controladas por la misma persona.
Esto no es diferente del enfoque clásico de "seguir el dinero" utilizado para conseguir el lavado de dinero y el financiamiento ilegal. Sin embargo, con la complejidad de las monedas digitales, se agrega un nivel de dificultad.
While there were different assumptions as to where the money went or will go, some suggestions included swapping the Bitcoins for privacy orientated Monero or even running it through a mixer to try to lose the trail.
Cabe señalar que recientemente AlphaBay fue derribado y el servicio de mixing de Bitcoin más grande del mundo de repente cerró las puertas.
ShapeShift ha lanzado desde entonces una declaración que confirma que los atacantes utilizaron su servicio para intercambiar Bitcoin a Monero pero violaron los términos del servicio.
“A partir de hoy, hemos tomado medidas para poner en una lista negra todas las direcciones asociadas con los atacantes de WannaCry que son conocidos por el equipo de ShapeShift, como es nuestra política para cualquier transacción que consideremos incumpla nuestros términos de servicio. Estamos observando atentamente la situación, ya que continúa desarrollándose para bloquear cualquier otra dirección asociada ... .Todas las transacciones realizadas a través de ShapeShift no se pueden ocultar u oscurecer y son, por lo tanto, 100% transparente, haciendo el lavado de cualquier ficha digital imposible.
- Declaración ShapeShift con respecto a las transacciones
Héroe arrestado
Mientras tanto, Marcus Hutchins, quien fue el primer experto en seguridad cibernética en cerrar los primeros ataques "accidentalmente", ha sido arrestado en Estados Unidos. Según los medios de comunicación, ha sido acusado de involucrarse con Kronos - un malware utilizado para robar inicios de sesión de los bancos.
Cointelegraph no puede confirmar la validez de estas acusaciones. El británico de 23 años estaba de visita en los Estados Unidos para asistir a las conferencias Black Hat y Def Con
El investigador Kevin Beaumont twitteó:
"... Parece que el sistema de justicia estadounidense ha cometido un gran error".