FATF закликає країни вжити негайних заходів для виявлення та припинення фінансових потоків програм-вимагачів

FATF опублікуали Звіт “Countering Ransomware Financing” (“Протидія фінансуванню програм-вимагачів” ) увага приділялася збільшенню масштабів і кількості атак програм-вимагачів, особливо підкреслюючи зловживання віртуальними активами (VA), що дозволяє злочинцям непомітно втекти з великими сумами грошей.

Атаки програм-вимагачів спрямовані на окремих осіб, компанії та державні установи по всьому світу. Наслідки цих атак можуть бути руйнівними для окремих осіб, державних установ і бізнесу та навіть порушити основну інфраструктуру та послуги.

У новому звіті FATF аналізує методи, які злочинці використовують для здійснення атак програм-вимагачів, а також способи здійснення та відмивання платежів. Злочинці найчастіше використовують криптовалюту або віртуальні активи та мають легкий доступ до постачальників послуг віртуальних активів по всьому світу. Тому юрисдикції зі слабким або відсутнім контролем ПВК/ФТ викликають занепокоєння.

У звіті FATF пропонується низка заходів, які країни можуть вжити, щоб ефективніше перешкоджати відмиванню грошей, пов’язаному з програмами-вимагачами. Це включає створення та використання існуючих механізмів міжнародного співробітництва, враховуючи транснаціональний характер атак програм-вимагачів і пов’язаного з ними відмивання. Органам влади також необхідно сформува́ти необхідні навички та інструменти, щоб швидко збирати ключову інформацію, відстежувати майже миттєві фінансові операції та відновлювати віртуальні активи до того, як вони зникнуть. Мультидисциплінарний характер програм-вимагачів також означає, що органи влади повинні розширити співпрацю за межі традиційних партнерів, включивши до неї агентства з кібербезпеки та захисту даних.

FATF також завершила розробку списку потенційних індикаторів ризику, які можуть допомогти суб’єктам державного та приватного секторів виявити підозрілу діяльність, пов’язану з програмами-вимагачами.

Банки/інші фінансові та платіжні установи, які ідентифікують оплату жертви програм-вимагачів

• • Вихідні електронні перекази до консалтингових фірм з кібербезпеки чи реагування на інциденти, які спеціалізуються на виправленні програм-вимагачів
  • Незвичайні вхідні банківські перекази від страхових компаній, які спеціалізуються на виправленні програм-вимагачів.
  • Клієнт самостійно повідомляє про атаку програм-вимагачів або платіжів.
  • Інформація з відкритих джерел про атаки програм-вимагачів на клієнтів.
  • Великий обсяг транзакцій з одного банківського рахунку на кілька рахунків у VASP.
  • Опис платежу містить такі слова, як «викуп» або назви груп програм-вимагачів.
  • Платежі, здійснені VASP у юрисдикціях із високим ризиком VASP ідентифікують оплату жертви програм-вимагачів.

 VASP ідентифікують оплату жертви програм-вимагачів

• • Запит на придбання віртуальних активів фірмою з реагування на інциденти або страховою компанією від імені третьої сторони.
  • Клієнт заявляє VASP, що він купує віртуальні активи через оплату програм-вимагачів.
  • Користувач без історії операцій з віртуальними активами надсилає кошти поза стандартною бізнес-практикою
  • Клієнт збільшує ліміт на рахунку та надсилає третій стороні.
  • Клієнт виглядає занепокоєним або нетерплячим через кількість часу, необхідного для оплати.
  • Покупки або перекази, пов’язані з підвищенням анонімності криптовалют.
  • Платежі, здійснені VASP у юрисдикціях із високим ризиком.
  • Новий клієнт купує віртуальні активи та передає весь баланс свого рахунку на одну адресу.

VASP, що ідентифікують квитанцію про оплату програм-вимагачів/рахунок злочинних програм-вимагачів.

• • Після початкової великої передачі віртуальних активів клієнт має невелику або взагалі не використовує цифрову валюту.
  • Аналіз блокчейну адрес гаманців виявляє зв’язки з програмами-вимагачами.
  • Негайне виведення коштів після конвертації коштів у віртуальні активи.
  • Надсилання віртуальних активів на гаманці, пов’язані з програмами-вимагачами.
  • Використання VASP у юрисдикції високого ризику.
  • Передача віртуальних активів на службу змішування.
  • Використання зашифрованої мережі.
  • Інформація для підтвердження – це фотографія даних на екрані комп’ютера або ім’я файлу, що містить «зображення WhatsApp» або подібне.
  • Синтаксис клієнта не відповідає демографічним характеристикам клієнта.
  • Інформація про клієнта показує, що клієнт має обліковий запис електронної пошти, відомий високою конфіденційністю, наприклад proton mail або Tutanota.
  • Невідповідні ідентифікаційні дані або спроба створення облікового запису з підробкою.
  • Кілька облікових записів, пов'язаних з однаковими контактними даними; адреси, спільні під різними іменами.
  • Схоже, що клієнт використовує VPN.
  • Транзакції з використанням криптовалют, які підвищують анонімність.

Детальніше ЗВІТ FATF “Протидія програмам-вимагачам” :

• • Фінансування
  • Індикатори потенційного ризику.

Читайте також:

• Поновлено Рекомендації FATF
• Членство Росії у FATF призупинено. Результати Пленарного засідання FATF за участі Держфінмоніторингу