Con un mayor escrutinio por parte de una letanía de reguladores, los intercambios de criptomonedas y las instituciones financieras ahora deben monitorear, marcar e informar los pagos sospechosos de ransomware. Hacerlo requiere una variedad de capacidades tecnológicas y un enfoque sofisticado para identificar patrones sospechosos en las transacciones. Pero los equipos de cumplimiento y las empresas que los emplean enfrentan graves consecuencias si fallan.
A medida que los ataques de ransomware se vuelven cada vez más comunes y amenazantes, el gobierno de EE. UU. ha señalado su determinación de prevenirlos. Una de las estrategias del gobierno es evitar que se paguen rescates a los actores sancionados, y generar inteligencia tanto financiera como cibernética, mediante la presentación de informes de actividades sospechosas relacionadas con la cibernética (ciber SAR). En particular, el Departamento del Tesoro de EE. UU. se ha centrado en el papel de las casas de cambio de criptomonedas o monedas virtuales, emitiendo múltiples avisos alentando a las casas de cambio a incorporar los riesgos relacionados con el ransomware en sus programas contra el lavado de dinero.
En términos generales, el ransomware es un tipo de malware que utiliza el cifrado para evitar el acceso a un sistema informático o a datos específicos. Hasta que se pague el rescate, el autor de la amenaza retiene el sistema o la información como rehén, a menudo con efectos operativos devastadores. Las víctimas del ransomware abarcan industrias tan diversas como el comercio minorista, las universidades, los hospitales, los oleoductos, los procesadores de alimentos y los servicios financieros. Los actores de amenazas se dirigen tanto a instituciones públicas como privadas. El costo económico ha sido enorme, pasando de $ 8 mil millones a $ 20 mil millones de 2018 a 2020 , y el rescate promedio exigido se ha quintuplicado en el mismo período . Estos costos ni siquiera tienen en cuenta las amenazas potenciales a la seguridad y la protección que presentan los ataques de ransomware en infraestructuras críticas o instituciones gubernamentales.
Reconociendo la gravedad del creciente problema, el Departamento de Justicia de EE. UU. (DOJ) anunció en junio de 2021 que asignaría a los principales casos de ransomware la misma prioridad que a los casos relacionados con el terrorismo. Una piedra angular del esfuerzo policial será evitar el pago a los actores de amenazas, gran parte del cual actualmente fluye a través de intercambios de cifrado. Entre otras cosas, DOJ y FinCEN han propuesto regulaciones más estrictas y mayores requisitos de transparencia para los intercambios. La Administración Biden también ordenó recientemente una revisión del entorno regulatorio de las monedas virtuales con miras a cómo se utilizan para financiar actividades ilícitas como el ransomware.
Los pagos de ransomware casi siempre se realizan en criptomonedas y la mayoría de las billeteras de los beneficiarios residen en los intercambios . Sin embargo, estos intercambios representaron menos del 30 % de los SAR de ransomware presentados en la primera mitad de 2021 . En consecuencia, los intercambios deberán mejorar sus controles de cumplimiento para detectar e informar posibles pagos de ransomware o enfrentar multas o algo peor. De hecho, la estructura misma de la tecnología blockchain aumenta el riesgo de los intercambios, lo que permite a los investigadores rastrear fácilmente los pagos sospechosos hasta sus autores.
Sanciones a Rusia y ransomware: un nexo convergente
El 24 de febrero, Vladimir Putin ordenó la invasión de Ucrania. EE. UU., la UE y el Reino Unido respondieron con sanciones devastadoras , paralizando muchas industrias rusas de la noche a la mañana. Sin embargo, esto también ha aumentado el riesgo de ransomware patrocinado por el estado . En cuestión de días, Conti, un notorio actor de amenazas de ransomware, amenazó con “contraatacar las infraestructuras críticas [sic]” de los “enemigos” de Rusia. Esto aumenta el riesgo de que los principales actores de amenazas de ransomware puedan ser objeto de futuras sanciones, o que sus acciones se relacionen directamente con otros actores sancionados. En respuesta, FinCEN emitió un avisosobre la evasión de sanciones rusas que señaló, sin nombrar actores de amenazas específicos, la amenaza de un aumento de los ataques de ransomware y las obligaciones de las instituciones financieras de cumplir con las sanciones y presentar informes de actividades sospechosas de manera oportuna.
Los intercambios de moneda virtual tienen una pequeña ventana para tomar la iniciativa y diseñar controles de cumplimiento sólidos relacionados con ransomware para proteger sus propios negocios, antes de que las agencias y los reguladores de EE. UU. exijan sus requisitos. Los intercambios deben considerar usar este tiempo para mejorar sus controles de cumplimiento para identificar cuentas que puedan realizar o recibir pagos de rescate y asegurarse de que cuentan con políticas, procedimientos y tecnología para cumplir con sus obligaciones de detección de sanciones e informes de actividades sospechosas relacionadas con ransomware.
Obligaciones de cumplimiento de ransomware
Los programas tradicionales contra el lavado de dinero (AML) y el cumplimiento de sanciones no están bien equipados para abordar los desafíos únicos planteados por los avisos recientes de FinCEN y OFAC . Específicamente, los avisos del Departamento del Tesoro:
Estos requisitos presentan múltiples desafíos. Primero, los actores de amenazas de ransomware (especialmente aquellos que operan bajo un modelo común de Ransomware-as-a-Service) a menudo usan tácticas de lavado de dinero diseñadas para adaptarse a su infraestructura especializada. En segundo lugar, los actores de amenazas intentan enmascarar sus identidades. Es posible que el equipo de respuesta a incidentes no pueda atribuir un ataque a un determinado actor de amenazas o que no conozca toda la información relevante para cumplir con los requisitos de OFAC y FinCEN en el momento en que se paga el rescate.
Para seguir cumpliendo, los intercambios de criptomonedas deben implementar escenarios de monitoreo de transacciones para identificar pagos relacionados con rescates, así como proporcionar a sus departamentos de cumplimiento con habilidades y tecnología especializadas para investigar los clientes potenciales generados por esos escenarios y trabajar con los beneficiarios para abordar los problemas de cumplimiento. Atribuir un ataque a un actor de amenazas o alcanzar un nivel de comodidad con un pago requiere un análisis detallado de cualquier pista que haya dejado el atacante. Los intercambios de criptomonedas deben detectar los pagos de rescate entrantes y salientes, recopilar información técnica sobre el ataque y analizarlo.
En consecuencia, los intercambios deben combinar programas de monitoreo de transacciones con experiencia en seguridad cibernética que comprenda a los diferentes actores de amenazas y cómo obtener y analizar IOC para evaluar adecuadamente los riesgos de sanciones y proporcionar la información SAR necesaria.
Guía de monitoreo y detección
Los intercambios deben monitorear los pagos de rescate entrantes y salientes, cada uno de los cuales requiere escenarios y técnicas de evaluación separados. El infame ataque de Darkside a Colonial Pipeline es ilustrativo:
Si bien los sistemas de monitoreo de transacciones tradicionales son necesarios para detectar aquellas transacciones que indican lavado de dinero, los intercambios también deben invertir en tecnologías y procesos que les permitan explorar el historial de una transacción en particular para identificar la infraestructura financiera que respalda a los actores de amenazas de ransomware (por ejemplo, cuentas de administrador, mezcladores, etc). Por lo tanto, los intercambios deberán implementar capacidades de monitoreo de transacciones a nivel de cuenta junto con un explorador de blockchain, que proporciona información actual sobre cuentas de actores de amenazas conocidas.
A. Pagos de rescate salientes
Al detectar actividad saliente, los intercambios deben enfocar su monitoreo de transacciones y programas KYC en la identificación de víctimas de ransomware o empresas que pueden facilitar los pagos de rescate. Al centrarse en KYC y la actividad inicial de la cuenta, los intercambios pueden detectar los pagos de rescate antes de que se realicen:
Es probable que las empresas de DFIR, las aseguradoras y los especialistas en pagos de ransomware realicen múltiples pagos de rescate a través de un intercambio. Si la política del intercambio es permitir pagos de rescate, debe involucrar al titular de la cuenta y establecer un proceso para detener y examinar todos los pagos de la empresa. Igualmente importante, los intercambios también deben considerar si el DFIR o el especialista en pagos está enviando dinero en nombre de su cliente, si se han registrado como una empresa de servicios monetarios y las implicaciones legales de mantener una cuenta para una persona que opera como un MSB sin licencia.
Un programa robusto de monitoreo de transacciones debe complementar el proceso KYC. Los intercambios deben usar un software de exploración de blockchain especializado y escenarios de monitoreo de transacciones más tradicionales para analizar el movimiento a nivel de cuenta y monitorear transacciones posteriores que se ajusten a tipologías conocidas. Cuando sea posible, estos escenarios deben tener sus umbrales y parámetros establecidos en base a pruebas rigurosas. Algunas consideraciones incluyen:
B. Pagos de rescate entrantes
Los escenarios de monitoreo de transacciones para detectar pagos de rescate entrantes deben centrarse en técnicas tradicionales de lavado de criptomonedas o técnicas de lavado de dinero y trabajar hacia atrás para identificar la estructura de las cuentas de administrador de ransomware. Esto puede requerir el uso de más de una herramienta, como sistemas de monitoreo de transacciones a nivel de cuenta para identificar actividades sospechosas y exploradores de blockchain para analizar la procedencia. Ciertos exploradores de blockchain también pueden proporcionar alertas en tiempo real que pueden indicar que una transacción proviene de una fuente sospechosa, incluidas direcciones conocidas relacionadas con ransomware.
Usando sistemas de monitoreo de transacciones, los intercambios pueden identificar cuentas potencialmente sospechosas usando los siguientes escenarios:
Movimiento rápido de fondos por encima de un cierto umbral de valor, y donde los fondos se recuperan a través de múltiples retiros rápidos de cajeros automáticos, o donde los fondos se remiten a un intercambio de alto riesgo;
Más allá de su utilidad para examinar transacciones que involucran una alerta, ciertas tecnologías de exploración de cadenas de bloques integran investigaciones de noticias negativas y pueden identificar transacciones de alto riesgo en tiempo real. Los intercambios deben considerar revisar las transacciones relacionadas con las siguientes alertas:
C. Gestión de alertas
Como mínimo, los intercambios deben establecer una política para el pago de rescates y procedimientos para adjudicar estas alertas. Si es factible , los intercambios deben mantener una unidad especializada para administrar las alertas de ransomware ("unidades de ransomware") o capacitar a las personas dentro del programa AML para manejar específicamente los casos a medida que surjan. La unidad de ransomware debe identificar las plataformas y tecnologías que se pueden usar para respaldar este esfuerzo, incluidas las plataformas de inteligencia de amenazas que brindan información sobre los actores de amenazas y su IOC.
Un intercambio tiene dos prioridades al adjudicar alertas relacionadas con ransomware: (i) determinar, en función de la información disponible, si el autor de la amenaza o el rescate están prohibidos por sanciones, y (ii) recopilar suficiente información para presentar un informe completo de actividad sospechosa. Ambos objetivos requieren el intercambio para recopilar información sobre el ataque. Los intercambios podrán recopilar mejor información sobre rescates salientes cuando el cliente deba proporcionar información a través de una solicitud de información, a diferencia de los pagos entrantes que pueden depender más de un análisis de las técnicas de lavado de dinero y los pagos anteriores.
D. Evaluación de sanciones
La OFAC prohíbe que los intercambios faciliten el pago de rescates a las partes sancionadas , al tiempo que reconoce la dificultad inherente de identificar con precisión a los actores de amenazas sancionados. En esencia, la OFAC espera que los intercambios se comprometan en un esfuerzo de buena fe para llevar a cabo la diligencia debida de sanciones en los pagos de rescate.
En consecuencia, los intercambios deben considerar un enfoque basado en el riesgo que, como mínimo, incluiría medidas para garantizar que la información disponible en el momento del pago del rescate no indique un nexo de sanciones. Algunas medidas pueden incluir:
Obtener una certificación del titular de la cuenta de que ha llevado a cabo la debida diligencia de las sanciones en el ataque, incluida la detección del actor de la amenaza, la dirección de la moneda digital y la garantía de que los IOC descubiertos no indiquen un nexo de sanciones (por ejemplo, una dirección IP que conduce a un sancionado). país, un archivo hash de malware utilizado previamente por una parte sancionada, etc.);
Comparar el IOC con la información en las herramientas de inteligencia de amenazas y resolver todas las direcciones IP para determinar si el IOC se asoció previamente con un actor de amenazas sancionado;
Llevar a cabo una investigación sobre el presunto actor de amenazas para determinar si una plataforma de inteligencia de amenazas o una agencia gubernamental (p. ej., CISA, OFAC, FBI) han asociado al actor de amenazas con una parte sancionada; y
La revisión del actor de amenazas debe hacer todo lo posible para adherirse a las metodologías utilizadas por el gobierno para analizar y clasificar las amenazas (p. ej., Mitre ATT&CK, un marco de ciberseguridad utilizado por el gobierno de EE. UU.).
Es posible que este proceso deba realizarse de forma iterativa, ya que es posible que el titular de la cuenta no haya recopilado toda la información antes del pago del rescate. Los intercambios deben establecer procedimientos para tomar decisiones basadas en el riesgo sobre cuándo se permite un pago y deben comprometerse a seguir adelante con la recopilación de toda la información relevante después del hecho . Si es posible, un intercambio debe intentar obtener una copia del informe de respuesta al incidente o un anexo con todos los IOC y las tácticas que se descubran posteriormente. La OFAC otorga una alta prioridad a las personas estadounidenses que cooperan con las fuerzas del orden público y cumplen con sus propias obligaciones de cumplimiento al determinar si iniciar una acción de cumplimiento.
E. Presentación de un SAR
Los informes de actividades sospechosas ("SAR") juegan un papel central en la erradicación de los actores de amenazas. Por lo tanto, es probable que los reguladores aumenten el enfoque no solo en la cantidad, sino también en la calidad de los SAR presentados por los intercambios. Un útil SAR de ransomware incluirá la siguiente información:
La presentación de un SAR efectivo requerirá que el intercambio siga los pasos discutidos en la sección anterior, pero FinCEN espera que los intercambios presenten un SAR sobre todas las actividades sospechosas (es decir, todos los pagos de rescate), no solo aquellas que pueden estar sujetas a sanciones.
Avanzando
Los ataques de ransomware presentan un peligro creciente e inminente para la salud y la seguridad de las personas y las instituciones, y el gobierno de los EE. UU. se está moviendo rápidamente para garantizar que el proceso de pago del rescate no beneficie a los actores sancionados, genere inteligencia financiera significativa y, en última instancia, socave a todos los actores cibernéticos maliciosos. .
Es probable que el gobierno y los reguladores de EE. UU. se concentren en gran medida en la capacidad de los intercambios de criptomonedas para cumplir con las regulaciones de lavado de dinero y sanciones. A diferencia de los pagos electrónicos tradicionales, los pagos de blockchain se pueden rastrear públicamente hasta su fuente y proporcionan un argumento sólido para que las agencias de cumplimiento se centren en los intercambios menos conformes. La investigación del DOJ sobre Binance puede ser un anticipo de una nueva ronda de acciones de cumplimiento. Los controles estrictos son fundamentales no solo para proteger los intercambios de sanciones regulatorias o penales, sino también para proteger los intereses económicos, de reputación y de seguridad globales.
Fuente: corporateccomplianceinsignts.com
En Intedya, líderes en la implementación y el impulso de prácticas empresariales de Calidad y Excelencia, nos encanta continuar explorando las innumerables ventajas que la certificación ISO 9001 aporta ...
La Agencia Española de Protección de Datos considera que la empresa ha vulnerado al menos tres artículos del RGPD Los sistemas biométricos de control de jornada existentes deben adaptarse a la nueva ...
La norma europea establece el deber de la empresa de corregir y reparar los efectos adversos en el medio ambiente y en los derechos humanos resultantes de sus operaciones. El Comité de Representantes ...
El reglamento DORA (Digital Operational Resilience Act) es una regulación de la Unión Europea que tiene como objetivo mejorar la resiliencia operativa y la ciberseguridad en el sector financiero, específicamente ...
La UE intensifica su compromiso con la ciberseguridad con la directiva NIS 2, que eleva el listón en la protección de activos digitales y coloca a los directivos en el centro de la estrategia de resiliencia. ...