Fonte: Chainalysis; Compilador: Deng Tong, Golden Finance;

Este artigo é a Parte 2 do Relatório Semestral de Criptocrime de 2024 publicado pela Chainalysis. Para visualizar a primeira parte, clique em “Relatório Chainalysis: Por que fundos roubados e ransomware continuam a aumentar”.

resumo

Rede CSAM

  • Os relatórios de sites CSAM chineses aumentaram desde o final de 2023.

  • A maioria dos titulares de carteiras compra acesso por um mês ou mais, com um máximo de aproximadamente 20.000 dias (equivalente a mais de 54 anos) de acesso quase permanente.

  • Consistente com nossas descobertas anteriores, os fornecedores de CSAM continuam a utilizar resgates instantâneos ao sacar.

Fraude

  • Os golpistas estão adaptando suas estratégias dentro e fora da rede para conduzir golpes mais curtos, porém mais dinâmicos e lucrativos.

  • Os golpes de matança de porcos são o maior tipo de golpe gerador de receita até agora neste ano. Uma rede de fraude em Mianmar descoberta pela primeira vez na rede em 2022 arrecadou pelo menos US$ 101,22 milhões até agora neste ano.

  • A maioria dos golpistas continua se afastando de esquemas Ponzi amplos para atividades mais direcionadas, como golpes de matança de porcos, golpes de escritórios domésticos, golpes de roubo de Drainer (Nota Dourada sobre Finanças: Drainer é um tipo de malware projetado especificamente para esvaziar ilegalmente ou "drenar" carteiras de criptomoedas , este software é oferecido para aluguel por seus desenvolvedores, o que significa que qualquer pessoa pode pagar para usar a ferramenta maliciosa ou resolver o envenenamento.

Garantia

  • Observamos um aumento no uso em mercados de língua chinesa e em redes de lavagem de dinheiro. Um desses mercados é o Huione Guarantee, que está ligado ao Grupo Huione, um conglomerado cambojano que liga compradores e vendedores que muitas vezes pouco fazem para esconder a natureza ilegal das suas transações.

  • A Garantia Huione processou mais de US$ 49 bilhões em transações de criptomoeda até agora em 2021, muito mais do que relatado anteriormente.

  • As conexões na rede de Huione incluem abate de porcos e outros golpes, endereços relatados como tendo fundos roubados, bolsa russa Garantex aprovada pela OFAC, lojas de golpes, CSAM, sites de jogos de azar e cassinos chineses e muito mais.

Na primeira parte de nossa atualização semestral sobre crimes, discutimos tendências relacionadas a ransomware e fundos roubados. Embora o total de atividades ilícitas na rede tenha caído quase 20% no acumulado do ano (acumulado no ano), os fluxos de fundos roubados quase dobraram, com os pagamentos anuais de ransomware a caminho de serem os mais altos de todos os tempos em um único ano.

Na segunda metade da nossa atualização, examinaremos as atividades na rede relacionadas à distribuição e consumo de material de abuso sexual infantil (CSAM), incluindo uma análise na rede dos pagamentos recebidos por dois fornecedores de CSAM e o que esses valores indicam.

A seguir, veremos as últimas tendências em fraudes com criptomoedas. A atividade dentro e fora da rede sugere que os golpistas estão adaptando suas estratégias e conduzindo campanhas mais curtas, porém mais lucrativas e regenerativas. Discutimos um notável sindicato fraudulento – o sindicato com maior receitas de 2024 até agora – que destaca a tendência nos últimos anos de se afastar dos elaborados esquemas Ponzi e de se aproximar de atividades mais direcionadas, como o abate de porcos.

A razão pela qual o "prato para matar porcos" é chamado de "prato para matar porcos" é porque os criminosos vão "engordar" as vítimas para obter o máximo de lucro possível. Isso geralmente envolve iniciar um relacionamento romântico com a vítima por meio de mensagem de texto ou aplicativo de namoro até que ela pressione a vítima a enviar dinheiro para uma falsa oportunidade de investimento. Curiosamente, os burlões do outro lado destas conversas são muitas vezes pessoas que foram raptadas, traficadas para o Sudeste Asiático e forçadas a trabalhar em campos de trabalhos forçados dentro de grandes complexos para perpetrar a fraude das placas de matança de porcos.

Por último, analisamos a Garantia Huione, um mercado de 49 mil milhões de dólares que foi recentemente exposto como facilitador do crime cibernético, incluindo CSAM e Killer Plate. Vamos começar.

CSAM da China mostra sinais de crescimento

Os relatos de fornecedores chineses de CSAM aumentaram desde o final do ano passado. O gráfico abaixo mostra a proporção de todas as atividades de CSAM entre fornecedores denominados em RMB versus outras moedas. Esses sites fornecem taxas de câmbio em yuans para pagamentos em criptomoedas. Os fornecedores chineses foram responsáveis ​​por uma parcela maior dos fluxos globais de CSAM desde o final de 2023, atingindo um pico de 38,8% do total de fluxos até agora no primeiro trimestre deste ano.

ZnWMdCvnVoPbyV2dC1mJZg0D7fAguyOvxxxESYQT.png

De acordo com a Internet Watch Foundation (IWF), uma organização dedicada à prevenção do abuso sexual infantil online, é difícil determinar porque é que estas redes cresceram na China. “Estamos vendo um aumento nos relatos desses tipos de sites”, disse um porta-voz da IWF. “Com base apenas nos canais de denúncia, é difícil dizer com certeza se há uma tendência emergente ou se esses sites já existem há algum tempo, mas não foram denunciados às autoridades, embora os próprios sites possam já existir há algum tempo sem a informação”. aviso público, mas a infraestrutura on-chain para esses serviços é relativamente nova, com a carteira chinesa mais antiga datando de 18 de julho de 2023, e a maioria dos outros endereços do final de 2023. Pelo menos em termos da dimensão on-chain, o prazo destas carteiras sugere que estes serviços estão a emergir, representam uma tendência real e podem não ser apenas o produto de novos canais de denúncia.

Inspeção na cadeia de fornecedores chineses de CSAM

Não podemos quantificar os danos globais do abuso sexual infantil além dos números. Dado o seu potencial de redistribuição, pequenas compras de dezenas de dólares (conforme mostrado no gráfico da Chainalysis Investigations abaixo) ainda podem levar à exploração de crianças a longo prazo.

eubdusn4vVruelP2XS4hgGTZEkqTCE6TNsZVM4pD.png

A rede ilustrada acima inclui dois fornecedores suspeitos de CSAM que vendem materiais em yuan chinês. As transferências de carteiras pessoais para fornecedores indicam que tipo de acesso os compradores de CSAM estão adquirindo em comparação com as taxas de assinatura no site do fornecedor de CSAM. Conforme mencionado anteriormente, os compradores podem obter acesso de um dia aos materiais CSAM desses fornecedores por apenas US$ 5. Eles também podem adquirir acesso quase permanente (aproximadamente 20.000 dias ou mais de 54 anos) por apenas US$ 41. Neste exemplo, a maioria dos titulares de carteira adquire acesso por um mês ou mais. Quanto aos fornecedores de CSAM, eles utilizam resgates instantâneos ao sacar, de acordo com nossos relatórios do início deste ano.

Os golpistas usam estratégias dentro e fora da rede;

Os golpes relacionados às criptomoedas estão aumentando em 2024, à medida que bilhões de dólares entram, representando uma das maiores áreas de atividade ilegal até agora neste ano. A característica mais marcante do cenário de golpes deste ano é a rápida evolução das pegadas on-chain dos golpistas – as carteiras e endereços criptográficos usados ​​para coletar pagamentos de vítimas de golpes – bem como as ferramentas fora da cadeia que eles usam para manipular as vítimas, como nomes de domínio e conta de mídia social. Esta atividade revela como os golpistas estão se adaptando dentro e fora da rede para conduzir golpes mais prejudiciais e de menor duração. Para evitar a detecção e a interrupção, muitas dessas operações recriam ou mantêm muitas campanhas menores e simultâneas para manter o maior sindicato organizado de fraudes em operação.

Uma característica notável do cenário de golpes de 2024 é quanto do total de fluxos de golpes até agora neste ano foi para carteiras que estiveram ativas este ano, indicando um aumento em novos golpes. O gráfico abaixo mostra a participação da carteira que aparece pela primeira vez na receita total do golpe nos anos em que o golpe recebeu criptomoeda. Notavelmente, 43% dos fluxos de golpes acumulados no ano foram para carteiras que estiveram ativas este ano. Esta tendência é significativa porque no próximo ano mais elevado, 2022, apenas 29,9% do total de entradas acumuladas no ano foram para carteiras ativas naquele ano.

kxbbDjjER70DRXYWYaariHZawYVxZt1Z8JQzd2iU.png

Essa tendência está bem refletida na vida média significativamente mais curta dos golpes, conforme mostrado no gráfico abaixo. Traçamos essa tendência contando o número de dias entre a primeira e a última vez que a atividade fraudulenta foi observada na rede. O número médio de dias em que os golpes estiveram ativos diminuiu significativamente de 2020 a 2024 até o momento, com os golpes iniciados em 2020 tendo 271 dias ativos em comparação com 42 dias para os golpes iniciados em 2024. Esta tendência macro é consistente com o facto de os burlões continuarem a afastar-se de esquemas Ponzi elaborados e a optarem por campanhas mais direcionadas, como a matança de porcos ou o envenenamento de endereços, em parte devido ao aumento dos esforços de aplicação por parte dos emitentes de moeda estável para fraudar endereços na lista negra.

wEVA362hiI1JjEAqs0pTKRN0F9nwf1ZLvWx5ewJG.jpeg

Embora os golpistas tendam a usar novos endereços na rede, aproximadamente 57% dos fluxos de golpes até agora em 2024 ainda vão para carteiras que estavam ativas antes de 2024. Uma das maiores carteiras individuais ativas este ano consolidou fundos de muitos dos golpes de matança de porcos mais notórios de Mianmar, KK Park. A carteira foi descoberta na rede pela primeira vez em 2022, e os golpes usando o endereço continuam a gerar receitas significativas, arrecadando mais de US$ 100 milhões até agora este ano. Os fundos podem vir de vítimas de fraudes ou de pagamentos de resgate apresentados por famílias que tentam resgatar familiares traficados.

Além disso, é importante notar que os golpes do KK Park e locais semelhantes são muito ativos na adaptação de sua presença fora da rede, muitas vezes comprando perfis completos do Facebook, Tinder e Match.com de serviços chineses para uso em suas campanhas. O gráfico abaixo mostra o fluxo de valor da carteira fraudulenta do KK Park para as lojas fraudulentas que vendem produtos ilegais, que os golpistas exploraram com efeitos devastadores.

TZ1S0lmXnnK0wbEh3zBPQgaPO2L8CsX4Ciinmp6N.png

Uma captura de tela do site da loja fraudulenta também mostra os preços das contas de mídia social que ela vende.

9cGo6ldaagjJ6o7KpyA15tNibAaI74fX0t3ZQErr.png

Vemos ainda mais evidências que apoiam essa tendência ao observarmos os fluxos totais em serviços que vendem contas de mídia social como esta loja fraudulenta. O gráfico abaixo mostra que as criptomoedas enviadas para esses serviços cresceram de forma constante nos últimos dois anos, totalizando 178.000 depósitos de 2022 a 2024, totalizando aproximadamente US$ 10,5 milhões. Os perfis de mídia social nesses sites custam entre US$ 5 e US$ 20 por conta, o que significa que os golpistas podem ter comprado entre 525 mil e 2,1 milhões de perfis de mídia social que podem ser usados ​​para atingir as vítimas.

yz1dBrZRR2dMvrGZMANB33aAVWZ9Lfpi5UscFVXp.png

Além de enviar fundos para serviços que fornecem ferramentas fraudulentas, os burlões precisam, em última análise, enviar os seus ganhos ilícitos para serviços para serem branqueados e convertidos em moeda fiduciária, principalmente através de bolsas centralizadas. Este ano também assistimos a um aumento na utilização de mercados de língua chinesa e de redes de branqueamento de capitais, incluindo a Garantia Huione.

Garantia Huione: um mercado online de US$ 49 bilhões

O Huione Guarantee, um mercado online ligado ao conglomerado cambojano Huione Group, foi recentemente exposto como um interveniente significativo no cibercrime. Nossa cobertura do serviço é muito maior do que relatada anteriormente – descobrimos que a plataforma processou mais de US$ 49 bilhões em transações de criptomoedas desde 2021.

Historicamente, o Grupo Huione prestou serviços legítimos, funcionou como um sistema de remessas para transferências internacionais e forneceu serviços de seguros. A empresa já esteve envolvida no negócio de viagens de luxo. No entanto, sua plataforma Huione Guarantee parece ser muito usada para atividades ilegais de criptografia, incluindo carnificina, fraude de investimento e lavagem de dinheiro. A Garantia Huione cresceu e se tornou um ecossistema grande e diversificado que apoia o lucrativo negócio de bandejas de açougue que continua a operar no Sudeste Asiático.

Garantia Huione é um mercado peer-to-peer (P2P) que conecta compradores e vendedores, muitas vezes facilitando essas transações via Telegram, que fornece um ponto de contato. No total, existem milhares de grupos de Telegram que anunciam ou publicam mensagens na Garantia Huione, cada um gerido por um comerciante ou afiliado independente diferente, muitos dos quais podem ter ligações com empresas criminosas que operam na área.

A Garantia Huione afirma ser uma parte neutra nestas transações; supostamente funciona como uma plataforma de negociação, cobrando uma taxa por cada transação executada, mas não verificando a legitimidade dos bens e serviços listados.

W4rxLKzIu5IXTZ8zUt5S9G9HmfLlvrnV0amw7RsI.png

Nota: Esta imagem foi traduzida automaticamente da versão original em chinês.

Muitos comerciantes da Garantia Huione pouco fazem para esconder suas atividades, em vez disso usam palavras-código enigmáticas para anunciar o tipo de serviços que procuram. Por exemplo, alguns anúncios mostram utilizadores à procura de “comboios”, o que significa que procuram mulas de dinheiro para movimentar dinheiro através de vários pontos e níveis, mascarando assim a origem e o destino do dinheiro.

Outras postagens promoveram o seguinte:

  • A tecnologia de reconhecimento facial ou modificação facial está disponível na seção “Desenvolver” da plataforma.

  • Planejando um plano de matança de porcos e um esquema Ponzi.

  • Fornece passaportes e vistos globais e supostamente auxilia nas solicitações.

6IvgUNV60yiqlvLYoOVCez9OhdqjFCkizloOpa66.png

Nota: Esta imagem foi traduzida por máquina. O texto original é "Shazhu", que significa "matar porcos".

t9BlFOQROGKCLdAR8iLfS2Zf22i9TqiPi3VhvHSl.png

Nota: Esta imagem foi traduzida automaticamente da versão original em chinês.

Atividades na rede da Garantia Huione

A análise on-chain mostra que Huione Pay está ativo no Ethereum, com entradas totais superiores a US$ 1,9 bilhão, e no TRON com mais de US$ 47 bilhões em entradas. Na imagem abaixo, vemos um exemplo desta atividade, com transferências entre Huione Pay e diversas contrapartes ilegais e de alto risco, destacando a extensa rede de facilitadores de Huione. A rede P2P que Huione parece apoiar fora da cadeia também é mapeada na cadeia. Huione recebeu e enviou fundos para vários tipos de contrapartes, incluindo fraudes, endereços relatados como fundos roubados, exchange russa Garantex aprovada pela OFAC, lojas fraudulentas, CSAM; , sites de jogos de azar e cassinos chineses, etc.

JCzfmOP3z4zPlTj1JF2pWeNdDx59fiQgsFRoRKym.png

A Garantia Huione também processou transações de carteira supostamente ligadas a grandes grupos criminosos, como o KK Park. Além disso, a Chainalysis descobriu carteiras ligadas ao Fully Light Group e à Warner International, duas entidades administradas pela família Kokang de Mianmar, que estão supostamente ligadas a atividades ilegais, como casas de jogo, redes financeiras clandestinas e esquemas de lavagem de dinheiro.

Ow6Bhg6MqioqSZRL43qBzRvsmTA0WZXv0ZbUz8Cy.png

A utilização da Garantia Huione por estas redes demonstra que o serviço facilita as atividades não só dos próprios golpistas e fraudadores, mas também das redes de criminosos por trás deles.

A Garantia Huione é notável porque serve como ponto focal para diferentes tipos de cibercriminosos, incluindo golpistas e redes CSAM. Embora possa ser o maior, não é o único serviço desse tipo. Outras redes utilizam igualmente o Telegram para facilitar transações P2P, muitas vezes para a troca de bens e serviços ilegais. A Chainalysis está trabalhando em estreita colaboração com nossos parceiros para monitorar de perto este ecossistema e descobrir esta atividade.