Suex, EggChange, Chatex - аресты и санкции. Что происходит?

Suex, EggChange, Chatex - аресты и санкции. Что происходит?

Aleksandr Kurmanov

Под санкциями ОТС-обменник Suex и Р2Р-обменник Chatex, арестован владелец ОТС-обменников Денис Дубников.

Почему это произошло? Связаны ли эти случаи? Какова основная версия произошедшего?

На эти вопросы я постарался ответить в статье.



Предыстория

С 2019 по 2021 в США прошла волна взломов и заражений программами-вымогателями (ransomware). Такая программа блокирует доступ к устройству или данным и за разблокировку требует выкуп в Биткоине или Монеро. Министерство финансов США указывает на урон от таких программ в $416 млн в 2020 году и $590 млн за первые полгода 2021 года.

Вымогательства связывают с рядом хакерских группировок. Одна из наиболее заметных REvil (Sodinokibi). Группировка провела нашумевшие вымогательства в США у органов местного самоуправления Техаса в 2019, крупнейшего поставщика мяса JBS в 2021, IT компании Kaseya и шантажировали Apple украденными данными о новых разработках в том же 2021.

Другая группировка, DarkSide, провела атаку на трубопроводную систему Colonial Pipeline 7 мая 2021. Компания доставляет 45% топлива на восточное побережье США. Взлом вызвал топливный кризис. 14 мая 88 % АЗС в Вашингтоне осталась без бензина. Люди заливали бензин в пластиковые пакеты.

Это лишь малая часть таких атак.

Что получилось:

  1. Хакеры взламывают крупнейшие компании, критическую инфраструктуру и административные системы США.
  2. Хакеры требуют выкуп в криптовалюте и получают его.

Это наносит материальный, имиджевый и моральный урон. Выставляя руководство США беспомощным. С учётом публичной значимости взломов и вымогательств, есть основания предполагать, что были брошены большие ресурсы на поиск виновных.

Расследованием начало заниматься Национальная совместная рабочая группа по кибер-расследованиям (NCIJTF). У следователей были две основные зацепки:

  1. В ряде случаев выкуп был в BTC.
    Транзакции в блокчейне биткоина публичны. Их можно отследить. По цепочке транзакций можно подобраться к виновникам.
  2. REvil и DarkSide считаются связанными русскоязычными группировками. Это сужает круг лиц и регион поиска. В интервью BBC, Дмитрий Смилянец, бывший российский хакер, эксперт по кибербезопасности Recorded Future, указывает ряд гипотез насчет русского следа хакеров:

    - Большинство хакерских групп рекламируют свои программы-вымогатели исключительно на русскоязычных хакерских форумах в Даркнете.
    - Хакеры, в основном, работают по московскому времени и не работают в российские праздники.
    - Во многих случаях, код программы-вымогателя предотвращает атаки на компьютерные системы, использующие русскую конфигурацию клавиатуры.
    - В СНГ нет крупных жертв программ-вымогателей по сравнению с западными странами.

Об остальных доказательствах точной информации нет.

Что случилось

Санкции против Suex OTC

21 сентября 2021 Управление по контролю за иностранными активами Минфина США (OFAC) вводит санкции против ОТС обменника SUEX.

По данным Chainalysis, через SUEX, хакеры-вымогатели (возможно и REvil) обналичили 160 млн $. Также отчет говорит о обналичивании:

  1. 24 млн $ операторами пирамид, включая Finiko.
  2. 20 млн $ получено из Даркнета, в основном с Hydra.
  3. 50 млн $ получены c криптовалютной биржи BTC-e/ WEX, которую Chainalysis связывает с отмыванием денег.

Компания зарегистрирована в Чехии, но работает только в РФ и на Ближнем Востоке. Основное отделение находится в башне "Восток" в Москвы-Сити. По данным TRM labs, SUEX работает с крупными суммами и производит обмен за наличные. Обмен происходит в течение 24 часов без верификации (KYC).

Крупнейший акционер SUEX — Егор Петуховский.

Егор Петуховский

Арест Дениса Дубникова, Васинского и розыск Полянина

1 ноября 2021 в Нидерландах, по указанию ФБР, был арестован Денис Дубников. Его ждёт экстрадиция в США. Денис сооснователь группы OTC обменников Coyote Crypto и EggChange. Обменники занимаются обменом криптовалюты на наличные. Как и SUEX, их офисы находятся в башне "Восток" Москва-Сити. Точной информации нет, но, похоже обменники Дубникова подозреваются в обналичивании средств от REvil/Sodinokibi.

Денис Дубников

Через неделю был арестован Ярослав Васинский и объявлен в розыск Евгений Полянин. Их подозревают в качестве участников группировки REvil/Sodinokibi и обвиняют в получении 200 млн $ от программ-вымогателей.

Санкции против Chatex

8 ноября 2021 под санкциями оказался Р2Р-обменник Chatex и аффилированные с ним компании Izibits OÜ, Chatextech SIA и Hightrade Finance Ltd. OFAC обвиняет Chatex в связях с распространителями программ-вымогателей и связях с SUEX.

По данным Chainalysis, через Chatex были обналичены 17 млн $ полученных от программ вымогателей, финансовых пирамид Finiko и QubitTech, даркнет-маркетплейса Hydra.

Chatex закрыл перевод средств на платформу и прекратил обменные операции. Площадка не возвращает средства пользователей из-за того, что адреса кошельков попали под санкции и переведенные с них средства считаются грязными. Команда Chatex обещает как можно скорее решить проблему.

Бывший акционер и сотрудник Chatex — Егор Петуховский.

Егор покинул Chatex после наложения санкций на SUEX.

Егор Петуховский (слева) и Ильдар Закиров (справа, сооснователь SUEX)

Вывод

SUEX и Chatex связаны через Егора Петуховского. В обеих компаниях он ключевое лицо. Coyote Crypto и EggChange Дубникова напрямую не связаны с бизнесами Петуховского. Во всяком случае, в сети нет достоверных доказательств. Но обменники связаны напрямую через сферу деятельности, к тому же, офисы Coyote Crypto, EggChange и SUEX находятся в одном здании Москвы-Сити. Скорее всего, этим и была вызвана цепная реакция в виде санкций за последний месяц.

Вероятная версия

Волна взломов и вымогательств в США затронула обычных людей, крупные корпорации и критическую инфраструктуру США. Поэтому власти США задействовали все силы на поиск виновных в хакерских атаках. 

Ключевой зацепкой для следователей стали транзакции в BTC. Эти транзакции привели к ОТС обменникам России. Конвертация больших сумм крипты в наличные — хороший способ замести следы. Особенно без верификации и проверки происхождения средств. Вероятно, хакеры воспользовались этим. В дальнейшем были детально изучены транзакции, методы работы, владельцы и управляющие. А дальше санкции, аресты. Об этом читайте выше. 

Могли ли владельцы знать об этом? С одной стороны, могли, поскольку крупным игрокам криптообменов должно быть известно о рисках грязной крипты. С другой стороны, никто не отменяет того, что средства могли проходить через обменники по незнанию и недальновидности. Понимание опасности грязной крипты пришло в массовое сознание недавно. Возможно, при проведении сделок обменники не закладывали такой риск в 2018-2019 году.

Последствия

О последствиях я расскажу в следующей статье. Материала много и если все описать в одной статье, то будет непонятно :)


#Chatex #SUEX #REvil #Sodinokibi #CoyoteCrypto #EggChange #Петуховский #Дубников #Санкции


Report Page