Os endereços de WannaCry foram esvaziados em um dia, já que as especulações sobre aonde o dinheiro está indo estão surgindo. Enquanto isso, o herói do dia que desativou os ataques iniciais é preso apenas um dia antes.

Saída

Apenas alguns meses após o ataque de ransomware WannaCry que atingiu todos os cantos do globo, os hackers por trás do ato transferiram mais de US$ 140.000 em Bitcoins coletados como resgate das carteiras iniciais.

Um bot do Twitter criado por Keith Richards da Quartz apontou os movimentos de grandes somas em 3 de agosto. Pouco depois de o saldo das carteiras WannaCry conhecidas terem caído para zero. Empresas da FedEx à Nissan e o Serviço Nacional de Saúde do Reino Unido foram atacadas.

actual ramson diz: 10.06868926 BTC ($27,514.04 USD) acabaram de ser sacados de uma carteira bitcoin relacionada ao ransomware #wcry 

Este não é o primeiro movimento de fundos como o elíptico apontou.

A empresa monitora as carteiras Bitcoin e fornece dados que estão abertamente disponíveis. Conforme visto abaixo, em cerca de 10 dias a partir de 12 de maio, os endereços do atacante aumentaram de quase zero para US$ 139.000.

Empresas e organizações que não podiam se dar ao luxo de ficar com seus sistemas off-line e dados encriptados foram forçadas a pagar rapidamente de US$ 300 a US$ 600 para descriptografar seus sistemas.

Isso poderia chegar a dezenas de milhares para uma única organização. A partir de 24 de julho, os fundos começaram a ser movidos para fora e, finalmente, em 3 de agosto, os mais de US$ 120.000 restantes foram movidos em um único dia.

As somas foram geralmente movidas em lotes de cerca de US$ 20-27.000 em Bitcoins até serem completamente drenadas.

Balance of WannaCry Ransomware Addresses

Balanço dos Endereços do Ransomware WannaCry

Andy Patel da F-Secure não tem uma forte hipótese de por que mover o dinheiro. Um fator-chave das transações Bitcoin é que elas são pseudônicas. Apesar de não ser anônimo, não há como saber quem controla as chaves dos endereços.

"Eu não tenho idéia de por que eles moveriam o dinheiro ... Não imaginaria que eles iriam tentar transformar esses Bitcoins em dinheiro real. Se o fizerem, vai dar a alguém uma pista para uma pessoa real.", disse Patel à BBC.

Seguir o dinheiro

Alan Woodward, que atua como um assessor de segurança cibernética da Europol, aponta que muitos acreditam que o Bitcoin é anônimo - isso é muito diferente de ser pseudônimo. O livro-razão do Bitcoin é inteiramente visível para todos.

Ele continua explicando que "análise de cluster" é uma técnica usada para tentar localizar endereços controlados pela mesma pessoa.

Isso não é diferente da abordagem clássica "seguir o dinheiro" usada para capturar a lavagem de dinheiro e o financiamento ilegal. No entanto, com a complexidade das moedas digitais, um nível de dificuldade é adicionado.

Embora houvesse diferentes pressupostos sobre onde o dinheiro foi ou irá, algumas sugestões incluíram trocar os Bitcoins pelo Monero, orientado para a privacidade, ou até mesmo executá-lo através de um mixer para tentar perder a trilha.

Note-se que recentemente o AlphaBay foi tirado do ar e o maior serviço misturador de Bitcoin do mundo de repente fechou as portas.

A ShapeShift desde então lançou uma declaração confirmando que os atacantes usaram seu serviço para trocar Bitcoin por Monero, mas violaram os termos de serviço.

"A partir de hoje, tomamos medidas para pôr na lista negra todos os endereços associados aos atacantes WannaCry conhecidos pelo time ShapeShift, assim como nossa política para quaisquer transações que julgemos violarem nossos termos de serviço. Estamos observando atentamente a situação à medida que continua a revelar-se como para bloquear quaisquer outros endereços associados ... Todas as transações feitas através do ShapeShift não podem ser escondidas ou obscurecidas e são, portanto, 100% transparentes, tornando impossível a lavagem de tokens digitais ".

- Declaração da ShapeShift sobre as transações

Herói preso

Enquanto isso, Marcus Hutchins, que foi o primeiro especialista em segurança cibernética a desligar os primeiros ataques "acidentalmente", foi preso nos EUA. De acordo com a mídia, ele foi acusado de envolvimento com o Kronos - um malware usado para roubar logins bancários.

A Cointelegraph não pode confirmar a validade dessas alegações. O britânico de 23 anos estava visitando os EUA para participar das conferências Black Hat e Def Con

O colega pesquisador Kevin Beaumont tuitou:

"... Parece que o sistema de justiça dos EUA cometeu um grande erro".