Binance ayuda a desmantelar una red cibercriminal por valor de 500 millones de dólares en ataques de ransomware

2021-07-05

El proyecto Exchange a prueba de balas Parte II: operación FANCYCAT

El ransomware se ha convertido en la mayor amenaza para la seguridad en línea, afectando a todos los sectores relacionados con Internet, desde las cadenas de suministro hasta las instituciones sanitarias

Por lo tanto, una parte fundamental del compromiso de Binance para garantizar el crecimiento seguro y sostenible del ecosistema global de criptomonedas implica luchar contra las diferentes cepas de ransomware y fraude. A principios de año publicamos un estudio de caso sobre nuestro primer Proyecto Exchange a prueba de balas, una iniciativa dedicada a la lucha contra el ransomware en la que colaboramos con la Policía Cibernética de Ucrania para detener a un importante grupo de delincuentes informáticos que blanqueaba más de 42 millones de dólares de fondos ilícitos. 

Más recientemente, Binance Security ha participado en una investigación internacional con la Policía Cibernética de Ucrania, la Oficina Cibernética de la Agencia de Policía Nacional de Corea, las Fuerzas de Seguridad de EE. UU., la Guardia Civil española, y la Oficina Federal de Policía de Suiza, entre otros, en la detención de una prolífica red de ciberdelincuentes. El grupo, también conocido como FANCYCAT, había realizado diversas actividades delictivas: la distribución de ciberataques, la explotación de un intercambio de alto riesgo y el blanqueo de dinero procedente de operaciones en la red oscura y ciberataques de perfil alto como los ransonware Cl0p y Petya. En total, FANCYCAT es responsable de daños por un valor de más de 500 millones de dólares relacionados con el ransomware y otros millones procedentes de otros ciberdelitos.

Operación FANCYCAT

Durante el último año hemos ampliado nuestras capacidades internas de análisis y detección AML (contra el blanqueo de capitales). Basándonos en nuestros estudios y análisis, así como en nuestros conocimientos de la historia de los delincuentes informáticos y sus tácticas de cobro, llegamos a la conclusión de que el mayor problema de seguridad de la industria actual es que el dinero relacionado con los ciberataques se está blanqueando a través de servicios anidados y cuentas de intercambio de parásitos que viven dentro de las macro VASP, entre las que se encuentran las bolsas como Binance.com. Estos criminales se aprovechan de la liquidez de bolsas de renombre, las diversas ofertas de activos digitales y las API bien desarrolladas. 

En la mayoría de los casos relacionados con flujos ilícitos en la cadena de bloques que llegan a las bolsas, la bolsa no alberga al grupo criminal en sí, sino que es utilizada como intermediaria para blanquear los beneficios robados. La figura 1 muestra un ejemplo del proceso de blanqueo de dinero en una bolsa relacionado con ciberataques:

(Figura 1)

El análisis de la cadena de bloques muestra una red de blanqueadores de dinero que vive dentro de las bolsas macro que depositan y retiran fondos entre sí para blanquear el dinero. Siendo conscientes de este diagnóstico, estamos adoptando las medidas necesarias para prevenir cualquier actividad ilícita. Para ello, estamos aplicando un doble enfoque: 1) implementamos nuestros propios mecanismos de detección para identificar y excluir las cuentas sospechosas; y 2) colaboramos con las fuerzas del orden para construir casos y desmantelar a grupos criminales. 

Aplicamos este doble enfoque a la investigación de FANCYCAT: nuestro programa de análisis y detección AML detectó una actividad sospechosa en Binance.com y amplió el clúster de sospechosos. Una vez identificamos la red completa de sospechosos, trabajamos con las empresas de análisis de cadena del sector privado TRM Labs y Crystal (BitFury) para analizar la actividad en la cadena y obtener un mayor conocimiento de este grupo y su atribución. Basándonos en nuestro análisis, descubrimos que este grupo específico no solo estaba asociado al blanqueo de fondos del ataque Cl0p, sino también con Petya y otros fondos obtenidos ilegalmente. Esto nos llevó a la identificación y detención final de FANCYCAT. 

Seguimos investigando el grupo criminal FANCYCAT en diversas jurisdicciones y las conexiones asociadas con otros ciberataques.

Hacer del ecosistema internacional de criptomonedas un lugar más seguro

En Binance, creemos que un férreo control de las bolsas, una legislación inteligente y una continua formación ayudarán enormemente a acabar con los malos actores. Proyectos como nuestro «Exchange a prueba de balas» y nuestra continua colaboración con las fuerzas del orden, así como con empresas de seguridad y análisis de la cadena de bloques, supondrán una enorme contribución en la mejora de las medidas de ciberseguridad en toda la industria de las criptomonedas.

Acerca del Departamento de Policía Cibernética de la Policía Nacional de Ucrania

El Departamento de Policía Cibernética de la Policía Nacional de Ucrania fue creado como parte del Ministerio del Interior de Ucrania. El departamento cuenta con hasta 400 agentes y especialistas sénior, incluidos los agentes que trabajan en todas las regiones del país en las unidades locales contra la ciberdelincuencia. Los investigadores del Departamento de Policía Cibernética dirigen procedimientos penales en casos como:

  • Delitos contra la seguridad de la información;

  • Delitos en las áreas de TI, telecomunicaciones y derechos de autor;

  • Delitos en las áreas de sistemas de pago y actividades comerciales;

  • Actividades de inteligencia informática.

  • Ciberdelitos y acciones ilegales con criptomonedas.

Acerca de la Oficina Cibernética de la Agencia de Policía Nacional de Corea

La Oficina Cibernética de la Agencia de Policía Nacional de Corea investiga los crímenes cibernéticos, incluido el terrorismo cibernético como el ransomware, y presta servicios forenses digitales.