Источник: Chainaанализ. Составитель: Дэн Тонг, Golden Finance;

Эта статья представляет собой вторую часть полугодового отчета о криптопреступности за 2024 год, опубликованного Chainaанализом. Чтобы просмотреть первую часть, нажмите «Отчет Chainaанализ: почему количество украденных средств и программ-вымогателей продолжает расти».

краткое содержание

Сеть CSAM

• Сообщений с китайских сайтов CSAM участилось с конца 2023 года.

• Большинство владельцев кошельков покупают доступ на месяц или более, примерно до 20 000 дней (что эквивалентно более 54 годам) почти постоянного доступа.

• В соответствии с нашими прошлыми выводами, поставщики CSAM продолжают использовать устройства мгновенного погашения при обналичивании средств.

Мошенничество

• Мошенники адаптируют свои ончейн- и оффчейн-стратегии для проведения более коротких, но более динамичных и прибыльных мошенничеств.

• Мошенничества с убийством свиней являются крупнейшим видом мошенничества, приносящего доход в этом году. Мошенническая группа из Мьянмы, впервые обнаруженная в сети в 2022 году, в этом году заработала не менее 101,22 миллиона долларов.

• Большинство мошенников продолжают отходить от широких схем Понци к более целенаправленным действиям, таким как мошенничество с убийством свиней, мошенничество в домашних офисах, мошенничество с кражей Drainer (Golden Finance Note: Drainer — это тип вредоносного ПО, специально разработанный для незаконного опустошения или «опустошения» криптовалютных кошельков). , это программное обеспечение предлагается в аренду его разработчиками, а это означает, что любой может заплатить за использование вредоносного инструмента или устранение заражения.

Гарантия

• Мы наблюдаем рост использования на китайскоязычных рынках и в сетях по отмыванию денег. Одной из таких торговых площадок является Huione Guarantee, которая связана с Huione Group, камбоджийским конгломератом, объединяющим покупателей и продавцов, которые зачастую мало что делают, чтобы скрыть незаконный характер своих транзакций.

• В 2021 году Huione Guarantee обработала криптовалютные транзакции на сумму более 49 миллиардов долларов, что намного больше, чем сообщалось ранее.

• Связи Huione в сети включают в себя забой свиней и другие виды мошенничества, адреса, которые, по сообщениям, были украдены, одобренную OFAC российскую биржу Garantex, мошеннические магазины, CSAM, китайские игровые сайты и казино и многое другое.

В первой части нашего полугодового отчета о преступности мы обсуждали тенденции, связанные с программами-вымогателями и украденными средствами. Хотя общий объем незаконной онлайн-активности снизился почти на 20% с начала года, приток украденных средств увеличился почти вдвое, а ежегодные выплаты по программам-вымогателям планируются стать самыми высокими за всю историю за один год.

Во второй половине нашего обновления мы рассмотрим внутрисетевую деятельность, связанную с распространением и потреблением материалов о сексуальном насилии над детьми (CSAM), включая внутрисетевой анализ платежей, полученных двумя поставщиками CSAM, и то, что эти суммы означают.

Далее мы рассмотрим последние тенденции в мошенничестве с криптовалютами. Активность внутри и вне сети предполагает, что мошенники адаптируют свои стратегии и запускают более короткие, но более прибыльные и восстанавливающие кампании. Мы обсуждаем один примечательный мошеннический синдикат — самый прибыльный синдикат 2024 года — который подчеркивает тенденцию последних лет от сложных схем Понци к более целенаправленной деятельности, такой как забой свиней.

Причина, по которой «Плата для убийства свиней» называется «Плита для убийства свиней», заключается в том, что преступники «откармливают» жертв, чтобы получить как можно больше прибыли. Это часто включает в себя инициирование романтических отношений с жертвой с помощью текстового сообщения или приложения для знакомств, пока жертва не заставит жертву отправить деньги в фиктивную инвестиционную возможность. Как ни странно, мошенниками на другом конце этих разговоров часто являются люди, которых похитили, вывезли в Юго-Восточную Азию и заставили работать в трудовых лагерях на территории крупных комплексов, чтобы совершить аферу с убийством свиней.

Наконец, мы рассмотрим Huione Guarantee, рынок стоимостью 49 миллиардов долларов, который недавно был уличен в содействии киберпреступности, включая CSAM и Killer Plate. Давайте начнем.

CSAM Китая демонстрирует признаки роста

С конца прошлого года количество сообщений о китайских поставщиках CSAM увеличилось. На диаграмме ниже показана доля всей деятельности CSAM между поставщиками, выраженной в юанях, по сравнению с другими валютами. Эти веб-сайты предоставляют курсы обмена юаней для платежей в криптовалюте. С конца 2023 года на долю китайских поставщиков приходится большая доля глобального притока CSAM, достигнув пика в 38,8% от общего притока в первом квартале этого года.

По данным Internet Watch Foundation (IWF), организации, занимающейся предотвращением сексуального насилия над детьми в Интернете, трудно определить, почему эти сети выросли в Китае. «Мы наблюдаем увеличение количества сообщений о сайтах такого типа», — заявил представитель IWF. «Основываясь только на каналах сообщения, трудно однозначно сказать, существует ли возникающая тенденция или эти сайты существуют уже какое-то время, но о них не было сообщено властям, хотя сами сайты, возможно, существовали в течение некоторого времени без ведома». Примечательно, что внутрисетевая инфраструктура этих сервисов относительно новая: самый старый китайский кошелек датирован 18 июля 2023 года, а большинство других адресов датированы концом 2023 года. По крайней мере, с точки зрения ончейн-изменения, сроки существования этих кошельков позволяют предположить, что эти услуги появляются, представляют собой реальную тенденцию и могут быть не просто продуктом новых каналов отчетности.

Внутрисетевая проверка китайских поставщиков CSAM

Мы не можем количественно оценить глобальный вред сексуального насилия над детьми, кроме цифр. Учитывая потенциал перераспределения, небольшие покупки на десятки долларов (как показано в таблице «Расследования цепочки» ниже) все равно могут привести к долгосрочной эксплуатации детей.

В сеть, изображенную выше, входят два предполагаемых поставщика CSAM, которые продают материалы в китайских юанях. Переводы из личных кошельков поставщикам показывают, какой тип доступа приобретают покупатели CSAM по сравнению со стоимостью подписки на веб-сайте поставщика CSAM. Как упоминалось ранее, покупатели могут получить однодневный доступ к материалам CSAM от этих поставщиков всего за 5 долларов. Они также могут приобрести почти постоянный доступ (примерно 20 000 дней или более 54 лет) всего за 41 доллар. В этом примере большинство владельцев кошельков приобретают доступ на месяц и более. Что касается поставщиков CSAM, они используют устройства мгновенного погашения при обналичивании, что соответствует нашему отчету ранее в этом году.

Мошенники используют внутрисетевые и офчейновые стратегии; продолжаются крупномасштабные мошенничества с убийством свиней;

В 2024 году количество мошенничеств, связанных с криптовалютой, будет расти, поскольку сюда потекут миллиарды долларов, что представляет собой одну из крупнейших сфер незаконной деятельности в этом году. Самой поразительной особенностью мошеннического ландшафта в этом году является быстрая эволюция сетевых следов мошенников (криптокошельков и адресов, используемых для сбора платежей от жертв мошенничества), а также внечейновых инструментов, которые они используют для манипулирования жертвами, таких как доменные имена и учетная запись в социальных сетях. Эта деятельность показывает, как мошенники адаптируются внутри и вне цепочки для проведения более коротких и более разрушительных мошенничеств. Чтобы избежать обнаружения и сбоев, многие из этих операций воссоздают или поддерживают множество более мелких одновременных кампаний, чтобы поддерживать работу более крупного организованного мошеннического синдиката.

Одной из примечательных особенностей мошеннической ситуации в 2024 году является то, какая часть общего притока мошеннических средств в этом году пошла на кошельки, которые были активны в этом году, что указывает на всплеск новых мошеннических действий. На диаграмме ниже показана доля первого появившегося кошелька в общем доходе от мошенничества за годы, когда мошенничество получало криптовалюту. Примечательно, что 43% притоков мошенников с начала года пришлось на кошельки, которые были активны в этом году. Эта тенденция важна, поскольку в следующем по величине году, 2022 году, только 29,9% от общего объема притоков с начала года пошло на активные кошельки.

Эта тенденция хорошо отражается в значительно более короткой средней продолжительности жизни мошенников, как показано на диаграмме ниже. Мы построили эту тенденцию, подсчитав количество дней между первым и последним моментом, когда мошенническая активность наблюдалась в сети. Среднее количество дней активности мошенничества значительно сократилось с 2020 по 2024 год по настоящее время: мошенничество, начавшееся в 2020 году, имело 271 день активности по сравнению с 42 днями для мошенничества, начавшегося в 2024 году. Эта макроэкономическая тенденция согласуется с тем, что мошенники продолжают отходить от сложных схем Понци к более целенаправленным кампаниям, таким как убийство свиней или отравление адресов, отчасти из-за усиленных усилий эмитентов стейблкоинов по мошенничеству с адресами, занесенными в черный список.

Хотя мошенники, как правило, используют новые адреса в цепочке, примерно 57% притоков мошенников в 2024 году по-прежнему приходятся на кошельки, которые были активны до 2024 года. Один из крупнейших единых кошельков, действовавших в этом году, консолидировал средства от многих из самых известных афер с убийством свиней в Мьянме, KK Park. Кошелек был впервые обнаружен в сети в 2022 году, и мошенничества с использованием этого адреса продолжают приносить значительный доход, заработав в этом году более 100 миллионов долларов. Средства могут поступать от жертв мошенничества или от выкупов, предоставленных семьями, пытающимися спасти членов семьи, ставших жертвами торговли людьми.

Кроме того, стоит отметить, что мошенники из KK Park и подобных площадок очень активно адаптируют свое мошенническое присутствие вне сети, часто покупая полноценные профили Facebook, Tinder и Match.com у китайских сервисов для использования в своих кампаниях. На диаграмме ниже показан поток средств из мошеннического кошелька KK Park в мошеннические магазины, торгующие нелегальной продукцией, чем мошенники воспользовались с разрушительным эффектом.

На снимке экрана веб-сайта мошеннического магазина также показаны цены на продаваемые им аккаунты в социальных сетях.

Мы видим больше доказательств, подтверждающих эту тенденцию, глядя на общий приток в сервисы, которые продают аккаунты в социальных сетях, такие как этот мошеннический магазин. На диаграмме ниже показано, что количество криптовалют, отправленных в эти сервисы, неуклонно росло за последние два года, составив 178 000 депозитов с 2022 по 2024 год на общую сумму около 10,5 миллионов долларов США. Профили в социальных сетях на этих сайтах стоят от 5 до 20 долларов за аккаунт, а это означает, что мошенники могли приобрести от 525 000 до 2,1 миллиона профилей в социальных сетях, которые можно использовать для нападения на жертв.

Помимо отправки средств в сервисы, предоставляющие мошеннические инструменты, мошенникам в конечном итоге приходится отправлять свои нечестные доходы в сервисы для отмывания и конвертации в бумажную валюту, в первую очередь через централизованные биржи. В этом году мы также стали свидетелями увеличения использования китайскоязычных торговых площадок и сетей по отмыванию денег, включая Huione Guarantee.

Huione Guarantee: онлайн-рынок стоимостью 49 миллиардов долларов

Huione Guarantee, онлайн-торговая площадка, связанная с камбоджийским конгломератом Huione Group, недавно была признана важным игроком в киберпреступности. Наш охват этой услуги намного шире, чем сообщалось ранее: мы обнаружили, что с 2021 года платформа обработала криптовалютные транзакции на сумму более 49 миллиардов долларов.

Исторически Huione Group предоставляла законные услуги, работала как система денежных переводов для зарубежных переводов и предоставляла страховые услуги. Когда-то компания занималась роскошным туристическим бизнесом. Однако ее платформа Huione Guarantee, похоже, активно используется для незаконной криптовалютной деятельности, включая бойню, инвестиционное мошенничество и отмывание денег. Huione Guarantee превратилась в большую и разнообразную экосистему, поддерживающую прибыльный бизнес по производству мясных лотков, который продолжает работать в Юго-Восточной Азии.

Huione Guarantee — это одноранговая (P2P) торговая площадка, которая соединяет покупателей и продавцов, часто облегчая эти транзакции через Telegram, который обеспечивает точку контакта. В общей сложности существуют тысячи групп Telegram, рекламирующих или публикующих сообщения на Huione Guarantee, каждая из которых управляется разными независимыми торговцами или филиалами, многие из которых могут иметь связи с преступными предприятиями, действующими в этом районе.

Huione Guarantee утверждает, что является нейтральной стороной в этих сделках; как сообщается, она действует как торговая платформа, взимая комиссию за каждую совершенную сделку, но не проверяя законность перечисленных товаров и услуг.

Примечание. Это изображение является машинным переводом оригинальной китайской версии.

Многие продавцы, пользующиеся Huione Guarantee, мало что делают, чтобы скрыть свою деятельность, вместо этого используют загадочные кодовые слова для рекламы типа услуг, которые они ищут. Например, в некоторых объявлениях показаны пользователи, которые ищут «конвои», то есть они ищут денежных мулов для перемещения денег через несколько точек и уровней, маскируя таким образом источник и место назначения денег.

В других сообщениях рекламировалось следующее:

• Технология распознавания лиц или модификации лиц доступна в разделе платформы «Разработка».

• Планирование плана по забою свиней и схемы Понци.

• Предоставляет глобальные паспорта, визы и предположительно помогает с подачей заявлений.

Примечание. Это изображение переведено машиной. Оригинальный текст — «Шажу», что означает «убийство свиней».

Примечание. Это изображение является машинным переводом оригинальной китайской версии.

Ончейн-деятельность Huione Guarantee

Ончейн-анализ показывает, что Huione Pay активен на Ethereum с общим притоком, превышающим 1,9 миллиарда долларов, и на TRON с притоком более 47 миллиардов долларов. На изображении ниже мы видим пример этой деятельности с переводами между Huione Pay и различными нелегальными контрагентами с высоким уровнем риска, что подчеркивает обширную сеть посредников Huione. P2P-сеть, которую Huione, по-видимому, поддерживает вне блокчейна, также отображается внутри цепочки; Huione получал и отправлял средства различным типам контрагентов, включая мошеннические, адреса, которые считались украденными, российскую биржу Garantex, одобренную OFAC, мошеннические магазины, CSAM. , китайские игровые сайты и казино и т. д.

Huione Guarantee также обрабатывала транзакции с кошельками, предположительно связанные с крупными преступными группировками, такими как KK Park. Кроме того, Chainaанализ обнаружил кошельки, связанные с Fully Light Group и Warner International, двумя организациями, управляемыми мьянманской семьей Коканг, которые, как сообщается, связаны с незаконной деятельностью, такой как игорные заведения, подпольные финансовые сети и схемы отмывания денег.

Использование Huione Guarantee этими сетями демонстрирует, что сервис облегчает деятельность не только самих мошенников и мошенников, но и стоящих за ними сетей преступников.

Huione Guarantee примечательна тем, что служит координационным центром для различных типов киберпреступников, включая мошенников и сети CSAM. Возможно, это самая крупная, но не единственная услуга такого рода. Другие сети аналогичным образом используют Telegram для облегчения P2P-транзакций, часто для обмена нелегальными товарами и услугами. Chainaанализ тесно сотрудничает с нашими партнерами, чтобы внимательно следить за этой экосистемой и выявлять эту деятельность.