Dark web -toiminta on lisääntynyt kryptorikollisuudessa

Markku Korhonen
| 4 min read

Dark web

Kryptovaluuttaan liittyvä lunnasohjelmistojen ja dark web eli pimeän verkon markkinoiden toiminta lisääntyi huomattavasti, todetaan lohkoketjuanalyysiyritys Chainalysiksen uudessa raportissa. Yleisesti ottaen kryptoon liittyvät rikokset kuitenkin vähenevät vuonna 2023. Chainalysiksen kyberrikollisuuden tutkimuspäällikkö Eric Jardine kertoi Cryptonewsille, että sekä lunnasohjelmien lompakoissa että dark web -markkinoiden lompakoissa oli enemmän sisäänvirtauksia vuoden 2023 aikana kuin vuonna 2022 dollareissa mitattuna. Jardine selitti lisäksi, että näihin kahteen laittoman toiminnan luokkaan liittyy erilaisia taustalla olevia käyttäytymismalleja. Hän sanoi:

“Esimerkiksi lunnasohjelmien tapauksessa lisääntyneet tulovirrat tarkoittavat, että yksityishenkilöt, yritykset, kriittisen infrastruktuurin tarjoajat ja hallitukset maksavat enemmän tai suurempia lunnaita jouduttuaan pahansuovan toimijan verkkohyökkäyksen uhriksi vuonna 2023 kuin vuonna 2022″. Dark web-markkinoiden tapauksessa sisäänvirtaukset edustavat usein erilaisia laittoman toiminnan muotoja, erityisesti laittomien huumeiden, kuten fentanyylin, heroiinin tai kokaiinin, ostamista.”

LueMiten kryptovarkaudet estetään? Asiantuntijat kertovat

BINANCE mainosbanneri CTA

Miksi lunnasohjelmat ja dark web -markkinoiden toiminta lisääntyy?


Jardine sanoo, että valitettavasti vuosi 2023 merkitsi laittoman dark web-ekosysteemin elpymistä. Hän mainitsi, että yhden suurimmista dark web -markkinapaikoista Hydra Marketplacen sulkeminen vuonna 2022 vähensi dark web-markkinoiden yhteenlaskettuja tulovirtoja kyseisenä vuonna. Tämä johti kuitenkin myös dark web -markkinoiden toiminnan lisääntymiseen vuonna 2023.

Financial Crime Academyn blogikirjoituksessa todetaan, että dark web -markkinapaikat käyttävät usein kryptovaluuttaa maksujen helpottamiseen niiden anonyymin luonteen vuoksi. Tämä voi pitää paikkansa, sillä krypto- ja dark web -markkinapaikkojen taustalla on pitkä historia.

Esimerkiksi The Silk Road (silkkitie) oli pimeän verkon markkinapaikka, joka tunnettiin siitä, että se käytti Bitcoinia (BTC) rahanpesutoimiin ja laittomiin huumekauppoihin.

Yhdysvaltain liittovaltion poliisi FBI sulki Silk Roadin vuonna 2013. Toinen pimeän verkon markkinapaikka, joka tunnettiin nimellä Abraxas, suljettiin vuonna 2015, mutta silti raportoitiin, että vuonna 2023 eräs taho siirsi 4800 BTC:tä – tuolloin 144 miljoonan dollarin arvosta – kolikkosekoittimeen Abraxasiin sidotusta lompakosta.

Myös kryptovaluuttaan liittyvät lunnasohjelmahyökkäykset lisääntyivät viime vuonna. Immunefin bug bounty -alustan raportin mukaan lunnasohjelmahyökkäyksissä käytetään ransomwarea, joka on haittaohjelman muoto, joka on suunniteltu salaamaan tiedostoja laitteessa tai koko verkossa ja tekemään ne saavuttamattomiksi.

Ransomware-ryhmät toteuttavat nämä hyökkäykset ja vaativat sitten lunnaita vastineeksi järjestelmien hallinnan palauttamisesta. Raportissa huomautettiin lisäksi, että 10 suurimmasta kryptologisesta lunnasohjelmahyökkäyksestä vuodesta 2020 lähtien on saatu 69 316 140 dollarin Bitcoin-voitto.

Lohkoketjujen kyberturvallisuusyrityksen Sayferin toimitusjohtaja Nir Duan kertoi Cryptonewsille, että tämä johtuu pääasiassa haittaohjelmien lisääntyvästä määrästä (malware-as-a-service, MaaS). Hän sanoi:

“Nykyään ei tarvitse olla kehittäjä tai koodaaja hakkeroidakseen järjestelmää, sillä näitä palveluja voi ostaa. Voit yksinkertaisesti ostaa infrastruktuurin, lähettää organisaation työntekijöille phishing-sähköpostin ja toivoa, että pääset käsiksi, jos joku tekee virheen. Pahantekijälle jää vain vastuu neuvottelemisesta.”

Duanin mukaan esimerkkinä tästä voisi olla phishing-as-a-service -infrastruktuuri. “Tämän palvelun avulla yksityishenkilöt voivat ostaa väärennetyn verkkosivuston, joka jäljittelee laillista kryptovaluuttapörssiä. Tämän jälkeen henkilö houkuttelee ihmisiä tallettamaan rahaa erilaisilla taktiikoilla, kuten sikojen teurastamisella tai romanssihuijauksilla, ennen kuin hän katoaa varojen kanssa”, hän sanoi.

Dark Web -kryptorikollisuustilastot
Dark Web -kryptorikollisuustilastot. Lähde: Chainanalysis

“Sian teurastus” yleistynyt kryptohuijauksissa


Erityisesti kryptovaluuttaan liittyvät “sikojenteurastushuijaukset” ovat lisääntyneet. Huhtikuussa 2023 Yhdysvaltain oikeusministeriö ilmoitti takavarikoineensa kryptovaluuttaa arviolta 112 miljoonan dollarin arvosta, joka liittyi näihin huijauksiin.

“Sian teurastus” on monimutkainen sijoitushuijaus, jossa flirttailevat tuntemattomat vakuuttavat pahaa-aavistamattomat käyttäjät sijoittamaan kryptokauppapaikkoihin, jotka lopulta takavarikoivat varoja. Näillä huijauksilla on tiettävästi ryöstetty uhreilta miljoonien dollarien arvosta kryptoassetteja.

Termi “sikojen teurastus” viittaa siis huijaukseen, jossa käytetään väärennettyjä profiileja sosiaalisen median alustoilla ja deittisivustoilla houkuttelemaan ihmisiä sijoittamaan epäilyttäviin huijauksiin.

Tammikuun 19. päivänä Yhdysvaltain hyödykefutuurien kauppakomissio (CFTC) nosti syytteen digitaalisen omaisuuden alustaa Debiexiä vastaan sikojen teurastukseen osallistumisesta, jonka seurauksena sijoittajat menettivät 2,3 miljoonaa dollaria.

Lisäksi “crypto drainer” -haittaohjelmia käytetään yhä useammin. Tietoturvayhtiö Group-IB:n tuoreessa raportissa kerrotaan phishing-operaatiosta Inferno Drainer, joka toimii “scam-as-a-service” -mallilla.

Group-IB:n havaintojen mukaan Inferno Drainer oli moniketjuinen kryptojen tyhjennyshävittäjä, joka oli aktiivinen marraskuun 2022 ja marraskuun 2023 välisenä aikana. Viime vuonna Inferno Drainer -haittaohjelma vaaransi noin 130 000 uhria ja varasti lähes 87 miljoonan dollarin arvosta digitaalisia varoja.

Raportissa mainitaan, että Inferno Drainer houkutteli potentiaalisia uhreja phishing-sivustoilla, jotka esiintyivät kryptomerkkeinä. Verkkorikolliset myös väärensivät suosittuja Web3-protokollia, kuten Seaportia, WalletConnectia ja Coinbasea, aloittaakseen vilpillisiä liiketoimia. Group-IB:n (EU:n alue) uhkatiedustelupäällikkö Rustam Mirkasymov kertoi Cryptonewsille, että kryptopalveluntarjoajaan kohdistuvassa hyökkäyksessä varojen omistajat eivät itse voi vaikuttaa varojensa turvallisuuteen, koska he ovat uskoneet ne palveluntarjoajalle.

LueAsiantuntija kertoo, miten kryptolompakko suojataan

Laittoman toiminnan torjunta


Vaikka lunnasohjelmat ja dark web -toiminta lisääntyvät, on tärkeää huomauttaa, että näiden rikosten torjumiseksi otetaan käyttöön ratkaisuja.

Esimerkiksi Darknet Marketplace and Digital Currency Crimes Task Force perustettiin viime vuoden kesäkuussa torjumaan “kryptovaluuttaan perustuvia rikoksia”, kuten huumekauppaa, rahanpesua, henkilötietojen varastamista ja lasten hyväksikäyttöä. Jardine huomautti, että lainvalvontaviranomaisilla on todellakin oma roolinsa pyrittäessä löytämään ja pidättämään rikoksentekijöitä. “Lohkoketjujen jäljitettävyys helpottaa tällaisten täytäntöönpanotoimien toteuttamista”, hän sanoi.

Jardin lisäsi, että yksityishenkilöiden, yritysten, kriittisen infrastruktuurin tarjoajien ja hallitusten on myös oltava ennakoivia suojellessaan tietoverkkojaan ja tietotekniikkajärjestelmiään lunnasohjelmahyökkäyksiltä. “Turvallisemman ja luotettavamman ketjuympäristön luominen vaatii toimia eri julkisilta ja yksityisiltä toimijoilta sekä yksityishenkilöiltä itseltään.”

Vaikka parhaat käytännöt ovat tärkeitä ottaa huomioon, Duan kertoi, että Sayfer kehittää parhaillaan ketjussa ja ketjusta riippumatonta tutkimustyökalua, joka toimii ennakoivana puolustuksena haittaohjelmatekniikoita vastaan.

“Sen sijaan, että keskittyisimme yksittäisiin toimijoihin, työkalumme havaitsee käytetyn perusinfrastruktuurin. Uskomme, että tämä lähestymistapa tekee meistä tehokkaampia ja vaikuttavampia näiden laittomien toimintojen lisääntymisen torjunnassa”, hän sanoi.

Duanin mukaan Sayfer on törmännyt samaan infrastruktuuriin, jota on käytetty 10 eri phishing-huijauksessa viime vuoden aikana. “Osa näistä huijauksista kohdistui Aasian markkinoille, osa Yhdysvaltain markkinoille, mutta kaikissa käytettiin samaa phishing-infrastruktuuria.”

Duan uskoo, että lunnasohjelmat ja kryptovaluuttaa käyttävät dark web -markkinarikokset kuitenkin lisääntyvät edelleen. Tämä johtuu franchising-kohtaisten haittaohjelmatyökalujen yleistymisestä yhdistettynä kehittyvään teknologiaan.

“Myymällä infrastruktuuria ja antamalla kenen tahansa käyttää sitä pahantekijät helpottavat rikollisen toiminnan lisääntymistä. Toiseksi teknologia ja menetelmät ovat vielä alkuvaiheessa ja kehittyvät edelleen, mikä johtaa kehittyneempiin järjestelmiin”, Duan sanoi.

Jardin uskoo, että ketjussa tapahtuva laiton toiminta todennäköisesti lisääntyy edelleen, kun kryptovaluutan käyttö kasvaa ajan myötä. Hän totesi kuitenkin, että täytäntöönpanotoimet ovat yleistymässä ja kehittymässä.

“Odottaisin, että nämä toimet auttavat jatkossakin hillitsemään pahimpia mahdollisia tuloksia tulevaisuudessa.”