Quando Colonial Pipeline è stata colpita da un ransomware il 7 maggio 2021, ha pagato 75 bitcoin per ripristinare i suoi sistemi. Ma i soldi non sono andati del tutto persi. L’FBI è infatti riuscita a rintracciarli mentre transitavano da un wallet digitale all’altro. Ad un certo punto, il 27 maggio, 63,7 bitcoin sono stati trasferiti a un indirizzo e hanno smesso di muoversi. L’FBI ha ottenuto la chiave privata per sbloccare quel portafoglio bitcoin ed è stata così in grado di recuperare buona parte della somma spesa da Colonial Pipeline.

Questo sequestro ha rappresentato una grande vittoria per la task force sui ransomware del Dipartimento di Giustizia degli Stati Uniti (DOJ), creata proprio per indagare e neutralizzare i gruppi di criminali informatici. I ransomware hanno paralizzato più di un terzo delle organizzazioni in tutto il mondo in un solo anno e due terzi delle vittime hanno riportato una significativa perdita di entrate. Nel 2021 i pagamenti hanno superato addirittura i 600 milioni di dollari in totale secondo un recente rapporto della piattaforma di dati blockchain Chainalysis.

Mentre l’FBI ha detto poco o nulla su come ha ottenuto la chiave privata e su come ha aiutato Colonial Pipeline a recuperare parte del riscatto pagato, il tracciamento delle transazioni sulla blockchain sta diventando una parte essenziale delle indagini sui criminali informatici. Le forze dell’ordine lavorano spesso con società di analisi che hanno esperti dedicati o offrono strumenti software progettati per acquisire dati grezzi inerenti la blockchain e fornire approfondimenti su di essi.

“Oggi siamo in grado di tracciare il flusso di fondi in modi che prima non era possibile” afferma Ari Redbord, capo degli affari legali e governativi presso la società di intelligence blockchain TRM Labs, che fornisce software per tracciare le transazioni di criptovaluta. Dare un senso ai dati grezzi della blockchain può aiutare le vittime del ransomware a riavere parte dei loro soldi, ma può anche far luce su altri tipi di attività criminali che operano sulla blockchain.

Spesso le indagini richiedono settimane di lavoro, conoscenze tecniche che pochi hanno e un po’ di creatività, ma “c’è sicuramente una possibilità non trascurabile di ottenere almeno il 25% dei soldi indietro” afferma Paul Sibenik, lead case manager presso l’agenzia investigativa blockchain CipherBlade.

I passi da compiere in un’indagine blockchain

Il recupero del riscatto del Colonial Pipeline è avvenuto in “una circostanza davvero unica”, dice Redbord. Tuttavia, questo successo del DOJ ha aiutato le vittime a capire che riavere i loro fondi potrebbe essere una possibilità. Mentre le indagini sulla blockchain possono avere caratteristiche leggermente diverse, i passaggi coinvolti sono simili, indipendentemente dal tipo di crimine.

Quando si verifica un attacco, gli investigatori hanno l’indirizzo della criptovaluta a cui è stato effettuato il pagamento e di solito i soldi non restano lì a lungo. Si spostano infatti a indirizzi diversi, si dividono in diversi portafogli e vengono convertiti da bitcoin ad altre criptovalute. Gli hacker spostano fondi per coprire le loro tracce ma anche per pagare i soci. Alcuni circuiti criminali informatici utilizzano riciclatori di denaro professionisti. Tutte queste transazioni vengono trasmesse alla blockchain.

“Si vedono gli hash delle transazioni e si vedono bitcoin e altri indirizzi di criptovaluta, ma non c’è un modo reale per dire come sono collegati tra loro questi indirizzi” afferma Phil Larratt, responsabile delle operazioni del Regno Unito presso Chainalysis. Mentre chiunque può accedere al libro mastro pubblico e guardare i dati grezzi, ricavarne informazioni tangibili può essere difficile. Un modo per ottenere informazioni preziose è raggruppare gli indirizzi sperando di identificare l’entità che li controlla come individui, scambi o gruppi di ransomware. I singoli portafogli, ad esempio, potrebbero avere cinque o sei indirizzi, mentre alcuni servizi che operano sulla blockchain, come gli scambi, potrebbero consentire il raggruppamento di milioni di indirizzi.

Conoscere l’entità esatta dietro una serie di indirizzi può essere cruciale e le società di intelligence blockchain sanno come trovarla. Aggregano informazioni da più fonti, spesso utilizzando dati off-chain per arricchire la loro comprensione delle transazioni osservando forum del dark web, post sui social media e documenti legali. “Può capitare di essere su Facebook e vedere qualcuno che richiede fondi in bitcoin… e c’è un indirizzo”, dice Redbord. Tale indirizzo viene copiato e può essere associato a un giro di criminali informatici, a un’organizzazione terroristica o ad altre entità illecite, a seconda dei casi.

Tutte queste informazioni vengono raccolte da società di intelligence blockchain e archiviate per riferimenti futuri. “Stiamo costruendo una gigantesca black list di indirizzi di criptovaluta”, aggiunge Redbord. Questo processo di classificazione degli indirizzi viene eseguito in background. Gli investigatori che utilizzano il software di intelligence blockchain inseriscono semplicemente l’indirizzo corrispondente al pagamento. Quindi, possono vedere il flusso di denaro digitale. Un’informazione preziosa può essere, ad esempio, se sono stati effettuati altri pagamenti a quell’indirizzo.

ransomware

I criminali informatici spostano ripetutamente fondi sperando di far perdere le proprie tracce, ma prima o poi devono fermarsi. Dal momento che c’è così tanto che si può fare con i bitcoin, hanno bisogno di convertire quei soldi in valuta tradizionale. In alcuni casi, le forze dell’ordine possono intervenire e sequestrare il denaro quando entra nel mondo reale.

Il recupero dei pagamenti derivanti dai ransomware

In alcuni casi, le organizzazioni che hanno pagato il riscatto possono riavere indietro almeno una parte dei loro soldi. “Con le criptovalute, è probabilmente più facile seguire i soldi perché ogni transazione avviene su un registro pubblico immutabile, dove si può vedere ogni transazione e quindi tracciare il flusso di fondi”, afferma Redbord.

Le possibilità di recuperare il denaro dipendono da vari parametri, tra cui quanto tempo è passato dal pagamento al tentativo di tracciamento dei fondi, la velocità con cui i criminali informatici spostano la criptovaluta o quali blockchain utilizzano. Quando sono coinvolte le forze dell’ordine, le possibilità di successo tendono ad essere più elevate. Le società di intelligence blockchain possono solo fornire informazioni, mentre solo le forze dell’ordine hanno il potere di citare in giudizio e portare avanti altri processi legali.

Tuttavia, ogni caso è diverso e le possibilità di recuperare il denaro, almeno in parte, possono variare notevolmente. I gruppi di ransomware perfezionano costantemente le proprie abilità e si sono moltiplicati negli ultimi anni. “Ogni gruppo può avere il proprio modo di riciclare i proventi del crimine”, afferma Larratt. “Tuttavia, poiché siamo all’avanguardia di questa tecnologia, siamo in grado di supportare alcune delle indagini più sofisticate e complesse in relazione al ransomware”.

Tracciare le transazioni bitcoin è ancora uno sforzo complesso e dovrebbe essere fatto da esperti. Non può essere fatto dalle vittime internamente, dice Sibenik. “In generale, le grandi aziende hanno difficoltà a svolgere da sole il lavoro di risposta agli incidenti”.

Solo un altro schema di riciclaggio di denaro

Le aziende esperte in analisi blockchain stanno contribuendo a creare un livello di fiducia attorno alle criptovalute e questo è vantaggioso per tutti, compresi gli scambi. Redbord, che ha trascorso 11 anni lavorando come procuratore federale presso il Dipartimento di Giustizia degli Stati Uniti, afferma che la fiducia dovrebbe essere una componente fondamentale di qualsiasi sistema finanziario.

“Antiriciclaggio, gestione del rischio e fiducia sono infrastrutture fondamentali”, afferma Redbord. “Ovviamente è molto importante rispettare le normative, ma alla fine potrebbe essere più importante costruire un forte livello di fiducia, perché le persone non effettueranno transazioni all’interno di un sistema finanziario di cui non si fidano”.

Larratt spera, tuttavia, che anche il settore delle criptovalute diventi più regolamentato, il che potrebbe potenzialmente frenare la criminalità informatica. Poiché l’introduzione di nuove normative sarà probabilmente un processo graduale, Chainalysis si sta impegnando per mettere a punto un software con l’obiettivo di supportare gli investigatori a fare del loro meglio considerando le condizioni attuali. “Sviluppiamo costantemente nuove tecniche e strumenti per responsabilizzare gli agenti e garantire che possano mantenere lo stesso tipo di qualità delle indagini in relazione a questi gruppi criminali”.

Dopotutto spostare la criptovaluta tra indirizzi diversi non è molto diverso dal riciclaggio di denaro di 15 e 20 anni fa, quando i fondi venivano inviati a un conto bancario tradizionale per essere incassati, per poi essere invitati a un altro conto bancario e quindi all’estero”, afferma Larratt.

Gli esperti sono comunque ottimisti e sono convinti che vedremo ancora più casi di successo in futuro e più aziende in grado di riavere almeno parte dei loro soldi, proprio come ha fatto Colonial Pipeline. Penso che l’analisi della blockchain sia una tattica essenziale (ma forse a volte sottoutilizzata) per aiutare a indagare su questo tipo di attività”, concude Larratt.