Actualidad

Con un mayor escrutinio por parte de una letanía de reguladores, los intercambios de criptomonedas y las instituciones financieras ahora deben monitorear, marcar e informar los pagos sospechosos de ransomware. Hacerlo requiere una variedad de capacidades tecnológicas y un enfoque sofisticado para identificar patrones sospechosos en las transacciones. Pero los equipos de cumplimiento y las empresas que los emplean enfrentan graves consecuencias si fallan. 

A medida que los ataques de ransomware se vuelven cada vez más comunes y amenazantes, el gobierno de EE. UU. ha señalado su determinación de prevenirlos. Una de las estrategias del gobierno es evitar que se paguen rescates a los actores sancionados, y generar inteligencia tanto financiera como cibernética, mediante la presentación de informes de actividades sospechosas relacionadas con la cibernética (ciber SAR).   En particular, el Departamento del Tesoro de EE. UU. se ha centrado en el papel de las casas de cambio de criptomonedas o monedas virtuales, emitiendo múltiples avisos alentando a las casas de cambio a incorporar los riesgos relacionados con el ransomware en sus programas contra el lavado de dinero.

En términos generales, el ransomware es un tipo de malware que utiliza el cifrado para evitar el acceso a un sistema informático o a datos específicos.   Hasta que se pague el rescate, el autor de la amenaza retiene el sistema o la información como rehén, a menudo con efectos operativos devastadores.   Las víctimas del ransomware abarcan industrias tan diversas como el comercio minorista, las universidades, los hospitales, los oleoductos, los procesadores de alimentos y los servicios financieros. Los actores de amenazas se dirigen tanto a instituciones públicas como privadas.   El costo económico ha sido enorme, pasando de $ 8 mil millones a $ 20 mil millones de 2018 a 2020 , y el rescate promedio exigido se ha quintuplicado en el mismo período .  Estos costos ni siquiera tienen en cuenta las amenazas potenciales a la seguridad y la protección que presentan los ataques de ransomware en infraestructuras críticas o instituciones gubernamentales. 

Reconociendo la gravedad del creciente problema, el Departamento de Justicia de EE. UU. (DOJ) anunció en junio de 2021 que asignaría a los principales casos de ransomware la misma prioridad que a los casos relacionados con el terrorismo.   Una piedra angular del esfuerzo policial será evitar el pago a los actores de amenazas, gran parte del cual actualmente fluye a través de intercambios de cifrado.   Entre otras cosas, DOJ y FinCEN han propuesto regulaciones más estrictas y mayores requisitos de transparencia para los intercambios. La Administración Biden también ordenó recientemente una revisión del entorno regulatorio de las monedas virtuales con miras a cómo se utilizan para financiar actividades ilícitas como el ransomware. 

Los pagos de ransomware casi siempre se realizan en criptomonedas y la mayoría de las billeteras de los beneficiarios residen en los intercambios .   Sin embargo, estos intercambios representaron menos del 30 % de los SAR de ransomware presentados en la primera mitad de 2021 .   En consecuencia, los intercambios deberán mejorar sus controles de cumplimiento para detectar e informar posibles pagos de ransomware o enfrentar multas o algo peor.   De hecho, la estructura misma de la tecnología blockchain aumenta el riesgo de los intercambios, lo que permite a los investigadores rastrear fácilmente los pagos sospechosos hasta sus autores. 

Sanciones a Rusia y ransomware: un nexo convergente

El 24 de febrero, Vladimir Putin ordenó la invasión de Ucrania. EE. UU., la UE y el Reino Unido respondieron con sanciones devastadoras , paralizando muchas industrias rusas de la noche a la mañana. Sin embargo, esto también ha aumentado el riesgo de ransomware patrocinado por el estado . En cuestión de días, Conti, un notorio actor de amenazas de ransomware, amenazó con “contraatacar las infraestructuras críticas [sic]” de los “enemigos” de Rusia. Esto aumenta el riesgo de que los principales actores de amenazas de ransomware puedan ser objeto de futuras sanciones, o que sus acciones se relacionen directamente con otros actores sancionados. En respuesta, FinCEN emitió un avisosobre la evasión de sanciones rusas que señaló, sin nombrar actores de amenazas específicos, la amenaza de un aumento de los ataques de ransomware y las obligaciones de las instituciones financieras de cumplir con las sanciones y presentar informes de actividades sospechosas de manera oportuna.

Los intercambios de moneda virtual tienen una pequeña ventana para tomar la iniciativa y diseñar controles de cumplimiento sólidos relacionados con ransomware para proteger sus propios negocios, antes de que las agencias y los reguladores de EE. UU. exijan sus requisitos. Los intercambios deben considerar usar este tiempo para mejorar sus controles de cumplimiento para identificar cuentas que puedan realizar o recibir pagos de rescate y asegurarse de que cuentan con políticas, procedimientos y tecnología para cumplir con sus obligaciones de detección de sanciones e informes de actividades sospechosas relacionadas con ransomware. 

Obligaciones de cumplimiento de ransomware 

Los programas tradicionales contra el lavado de dinero (AML) y el cumplimiento de sanciones no están bien equipados para abordar los desafíos únicos planteados por los avisos recientes de FinCEN y OFAC .   Específicamente, los avisos del Departamento del Tesoro: 

• Prohibir el pago de rescates a las personas sancionadas; y
• Exigir a las instituciones financieras, incluidos los intercambios de criptomonedas, que presenten informes de actividad sospechosa ("SAR") sobre pagos de ransomware que deben incluir "información relacionada con la cibernética e indicadores técnicos", como evidencia forense de intrusiones en la red de la víctima ("indicadores de compromiso" o “COI”). 

Estos requisitos presentan múltiples desafíos. Primero, los actores de amenazas de ransomware (especialmente aquellos que operan bajo un modelo común de Ransomware-as-a-Service) a menudo usan tácticas de lavado de dinero diseñadas para adaptarse a su infraestructura especializada. En segundo lugar, los actores de amenazas intentan enmascarar sus identidades. Es posible que el equipo de respuesta a incidentes no pueda atribuir un ataque a un determinado actor de amenazas o que no conozca toda la información relevante para cumplir con los requisitos de OFAC y FinCEN en el momento en que se paga el rescate. 

Para seguir cumpliendo, los intercambios de criptomonedas deben implementar escenarios de monitoreo de transacciones para identificar pagos relacionados con rescates, así como proporcionar a sus departamentos de cumplimiento con habilidades y tecnología especializadas para investigar los clientes potenciales generados por esos escenarios y trabajar con los beneficiarios para abordar los problemas de cumplimiento.   Atribuir un ataque a un actor de amenazas o alcanzar un nivel de comodidad con un pago requiere un análisis detallado de cualquier pista que haya dejado el atacante.   Los intercambios de criptomonedas deben detectar los pagos de rescate entrantes y salientes, recopilar información técnica sobre el ataque y analizarlo. 

En consecuencia, los intercambios deben combinar programas de monitoreo de transacciones con experiencia en seguridad cibernética que comprenda a los diferentes actores de amenazas y cómo obtener y analizar IOC para evaluar adecuadamente los riesgos de sanciones y proporcionar la información SAR necesaria. 

Guía de monitoreo y detección

Los intercambios deben monitorear los pagos de rescate entrantes y salientes, cada uno de los cuales requiere escenarios y técnicas de evaluación separados. El infame ataque de Darkside a Colonial Pipeline es ilustrativo:

• El rescate saliente se pagó desde un intercambio destacado a una billetera intermediaria, y el dinero se transfirió a una cuenta de administración utilizada por DarkSide ("cuenta de administrador") para distribuir los pagos del rescate.
• La cuenta de administrador recolectó el rescate y puede distribuir las partes del pago a los diversos actores, que tenían roles especializados, como identificar el exploit (es decir, la vulnerabilidad del sistema), implementar el malware (es decir, ejecutar el ataque) y negociar el rescate o una cuenta de administrador de RaaS pueden cobrar su tarifa (que permanecerá en la billetera del administrador) y luego distribuir el resto del rescate a la cuenta real del atacante.
• Una vez que se distribuyen los fondos, cada parte (o propietario de cada billetera) puede comenzar a estructurar los fondos que eventualmente llegarían a un intercambio de criptomonedas.   Los actores de amenazas pueden lavar los fondos a través de varios métodos (descritos en la Sección B a continuación). En particular, el actor de amenazas puede usar los intercambios para cobrar el rescate o "saltar en cadena" mediante la transferencia de activos de una cadena de bloques rastreable a otra. 

Si bien los sistemas de monitoreo de transacciones tradicionales son necesarios para detectar aquellas transacciones que indican lavado de dinero, los intercambios también deben invertir en tecnologías y procesos que les permitan explorar el historial de una transacción en particular para identificar la infraestructura financiera que respalda a los actores de amenazas de ransomware (por ejemplo, cuentas de administrador, mezcladores, etc).   Por lo tanto, los intercambios deberán implementar capacidades de monitoreo de transacciones a nivel de cuenta junto con un explorador de blockchain, que proporciona información actual sobre cuentas de actores de amenazas conocidas.

A. Pagos de rescate salientes

Al detectar actividad saliente, los intercambios deben enfocar su monitoreo de transacciones y programas KYC en la identificación de víctimas de ransomware o empresas que pueden facilitar los pagos de rescate.   Al centrarse en KYC y la actividad inicial de la cuenta, los intercambios pueden detectar los pagos de rescate antes de que se realicen:

• Identificar empresas forenses digitales y de respuesta a incidentes ("DFIR"), aseguradoras o empresas especialistas en pagos de ransomware que mantienen cuentas en el intercambio y que pueden remitir pagos de rescate en nombre de sus clientes;
• Identificar a los clientes que declaran que el propósito de su cuenta es pagar un rescate, o que financian inmediatamente la cuenta con una gran suma o montos redondos grandes (después de tener en cuenta las tarifas de cambio); y
• Identificación de clientes que forman parte de industrias clasificadas como las 16 industrias de infraestructura crítica por la Agencia de Seguridad de Infraestructura y Cibernética de EE. UU.

Es probable que las empresas de DFIR, las aseguradoras y los especialistas en pagos de ransomware realicen múltiples pagos de rescate a través de un intercambio.   Si la política del intercambio es permitir pagos de rescate, debe involucrar al titular de la cuenta y establecer un proceso para detener y examinar todos los pagos de la empresa. Igualmente importante, los intercambios también deben considerar si el DFIR o el especialista en pagos está enviando dinero en nombre de su cliente, si se han registrado como una empresa de servicios monetarios y las implicaciones legales de mantener una cuenta para una persona que opera como un MSB sin licencia.

Un programa robusto de monitoreo de transacciones debe complementar el proceso KYC.   Los intercambios deben usar un software de exploración de blockchain especializado y escenarios de monitoreo de transacciones más tradicionales para analizar el movimiento a nivel de cuenta y monitorear transacciones posteriores que se ajusten a tipologías conocidas. Cuando sea posible, estos escenarios deben tener sus umbrales y parámetros establecidos en base a pruebas rigurosas.   Algunas consideraciones incluyen:

• Las víctimas suelen pagar los rescates en una sola transacción. El rescate puede ser un pago redondo (a veces permitiendo tarifas de cambio) o un pago inicial grande de un nuevo cliente. Las víctimas pueden pagar accidentalmente un rescate sin tener en cuenta una tarifa de intercambio y, por lo tanto, pueden realizar un segundo pago por un valor más bajo rápidamente a partir de entonces.
• Las transacciones de gran valor que se mueven rápidamente entre dos o más cuentas pueden significar el uso de cuentas intermediarias. Es posible que este movimiento no ocurra de inmediato, y los investigadores deben construir un período de "seguimiento" para determinar a dónde pudo haber ido la transacción.
• Los fondos que se dividen en una relación de uno a muchos después de ser transferidos a través de varios monederos intermediarios pueden significar cuentas de administrador.

B. Pagos de rescate entrantes

Los escenarios de monitoreo de transacciones para detectar pagos de rescate entrantes deben centrarse en técnicas tradicionales de lavado de criptomonedas o técnicas de lavado de dinero y trabajar hacia atrás para identificar la estructura de las cuentas de administrador de ransomware.   Esto puede requerir el uso de más de una herramienta, como sistemas de monitoreo de transacciones a nivel de cuenta para identificar actividades sospechosas y exploradores de blockchain para analizar la procedencia. Ciertos exploradores de blockchain también pueden proporcionar alertas en tiempo real que pueden indicar que una transacción proviene de una fuente sospechosa, incluidas direcciones conocidas relacionadas con ransomware.

Usando sistemas de monitoreo de transacciones, los intercambios pueden identificar cuentas potencialmente sospechosas usando los siguientes escenarios:

Movimiento rápido de fondos por encima de un cierto umbral de valor, y donde los fondos se recuperan a través de múltiples retiros rápidos de cajeros automáticos, o donde los fondos se remiten a un intercambio de alto riesgo;

• Cuentas que agregan fondos en una relación de muchos a uno; y
• Cuentas que reciben múltiples transacciones pequeñas y transfieren fondos: (i) entre una criptomoneda a otra en un período de tiempo rápido, (ii) a una moneda que les permite retirar la cuenta, o (iii) donde el cliente retira rápidamente los fondos .

Más allá de su utilidad para examinar transacciones que involucran una alerta, ciertas tecnologías de exploración de cadenas de bloques integran investigaciones de noticias negativas y pueden identificar transacciones de alto riesgo en tiempo real. Los intercambios deben considerar revisar las transacciones relacionadas con las siguientes alertas:

• Las alertas que involucran cadenas de pelado poco comunes deben ser seguidas por al menos cinco saltos para determinar si se reciben de cuentas que muestran los indicios de sospecha que se enumeran a continuación. 
• Fondos recibidos de cuentas de administrador conocidas relacionadas con ransomware, que pueden identificarse previamente a través de plataformas de exploración de blockchain.
• Grandes transferencias de mezcladores, cuyo servicio ha sido utilizado cada vez más por los actores de amenazas de ransomware. 
• Transacciones salientes a fuentes de infraestructura conocidas que los actores de ransomware pueden usar, incluidos los mercados de redes oscuras (para la provisión de credenciales robadas) y ciertos servicios de Internet, que pueden usarse para la anonimización (por ejemplo, CDN), infraestructura de comando y control y otros conocidos a prueba de balas. servicios de hospedaje

C. Gestión de alertas

Como mínimo, los intercambios deben establecer una política para el pago de rescates y procedimientos para adjudicar estas alertas. Si es factible , los intercambios deben mantener una unidad especializada para administrar las alertas de ransomware ("unidades de ransomware") o capacitar a las personas dentro del programa AML para manejar específicamente los casos a medida que surjan. La unidad de ransomware debe identificar las plataformas y tecnologías que se pueden usar para respaldar este esfuerzo, incluidas las plataformas de inteligencia de amenazas que brindan información sobre los actores de amenazas y su IOC.     

Un intercambio tiene dos prioridades al adjudicar alertas relacionadas con ransomware: (i) determinar, en función de la información disponible, si el autor de la amenaza o el rescate están prohibidos por sanciones, y (ii) recopilar suficiente información para presentar un informe completo de actividad sospechosa.   Ambos objetivos requieren el intercambio para recopilar información sobre el ataque.   Los intercambios podrán recopilar mejor información sobre rescates salientes cuando el cliente deba proporcionar información a través de una solicitud de información, a diferencia de los pagos entrantes que pueden depender más de un análisis de las técnicas de lavado de dinero y los pagos anteriores. 

D. Evaluación de sanciones 

La OFAC prohíbe que los intercambios faciliten el pago de rescates a las partes sancionadas , al tiempo que reconoce la dificultad inherente de identificar con precisión a los actores de amenazas sancionados.   En esencia, la OFAC espera que los intercambios se comprometan en un esfuerzo de buena fe para llevar a cabo la diligencia debida de sanciones en los pagos de rescate.

En consecuencia, los intercambios deben considerar un enfoque basado en el riesgo que, como mínimo, incluiría medidas para garantizar que la información disponible en el momento del pago del rescate no indique un nexo de sanciones.   Algunas medidas pueden incluir:

Obtener una certificación del titular de la cuenta de que ha llevado a cabo la debida diligencia de las sanciones en el ataque, incluida la detección del actor de la amenaza, la dirección de la moneda digital y la garantía de que los IOC descubiertos no indiquen un nexo de sanciones (por ejemplo, una dirección IP que conduce a un sancionado). país, un archivo hash de malware utilizado previamente por una parte sancionada, etc.);

Comparar el IOC con la información en las herramientas de inteligencia de amenazas y resolver todas las direcciones IP para determinar si el IOC se asoció previamente con un actor de amenazas sancionado;

Llevar a cabo una investigación sobre el presunto actor de amenazas para determinar si una plataforma de inteligencia de amenazas o una agencia gubernamental (p. ej., CISA, OFAC, FBI) ​​han asociado al actor de amenazas con una parte sancionada; y

La revisión del actor de amenazas debe hacer todo lo posible para adherirse a las metodologías utilizadas por el gobierno para analizar y clasificar las amenazas (p. ej., Mitre ATT&CK, un marco de ciberseguridad utilizado por el gobierno de EE. UU.). 

Es posible que este proceso deba realizarse de forma iterativa, ya que es posible que el titular de la cuenta no haya recopilado toda la información antes del pago del rescate.   Los intercambios deben establecer procedimientos para tomar decisiones basadas en el riesgo sobre cuándo se permite un pago y deben comprometerse a seguir adelante con la recopilación de toda la información relevante después del hecho .   Si es posible, un intercambio debe intentar obtener una copia del informe de respuesta al incidente o un anexo con todos los IOC y las tácticas que se descubran posteriormente.   La OFAC otorga una alta prioridad a las personas estadounidenses que cooperan con las fuerzas del orden público y cumplen con sus propias obligaciones de cumplimiento al determinar si iniciar una acción de cumplimiento.

E. Presentación de un SAR

Los informes de actividades sospechosas ("SAR") juegan un papel central en la erradicación de los actores de amenazas.   Por lo tanto, es probable que los reguladores aumenten el enfoque no solo en la cantidad, sino también en la calidad de los SAR presentados por los intercambios.   Un útil SAR de ransomware incluirá la siguiente información:

• Identificación de las partes o partes sospechosas, incluido el titular de la cuenta, el posible actor de amenazas y cualquier tercero involucrado en el pago del rescate;
• Información financiera relacionada con la transacción, incluidos números de cuenta o billeteras de moneda digital, otros intercambios o instituciones, y las metodologías utilizadas por el actor de amenazas para lavar el pago del rescate; y
• Una lista de todos los IOC que el intercambio pudo recopilar durante la investigación. 

La presentación de un SAR efectivo requerirá que el intercambio siga los pasos discutidos en la sección anterior, pero FinCEN espera que los intercambios presenten un SAR sobre todas las actividades sospechosas (es decir, todos los pagos de rescate), no solo aquellas que pueden estar sujetas a sanciones. 

Avanzando

Los ataques de ransomware presentan un peligro creciente e inminente para la salud y la seguridad de las personas y las instituciones, y el gobierno de los EE. UU. se está moviendo rápidamente para garantizar que el proceso de pago del rescate no beneficie a los actores sancionados, genere inteligencia financiera significativa y, en última instancia, socave a todos los actores cibernéticos maliciosos. . 

Es probable que el gobierno y los reguladores de EE. UU. se concentren en gran medida en la capacidad de los intercambios de criptomonedas para cumplir con las regulaciones de lavado de dinero y sanciones.   A diferencia de los pagos electrónicos tradicionales, los pagos de blockchain se pueden rastrear públicamente hasta su fuente y proporcionan un argumento sólido para que las agencias de cumplimiento se centren en los intercambios menos conformes.   La investigación del DOJ sobre Binance puede ser un anticipo de una nueva ronda de acciones de cumplimiento.   Los controles estrictos son fundamentales no solo para proteger los intercambios de sanciones regulatorias o penales, sino también para proteger los intereses económicos, de reputación y de seguridad globales. 

Fuente: corporateccomplianceinsignts.com