דו”ח חדש של חברות הסייבר Profero ו- Security Joe’s חושף לראשונה את מקורה של קבוצת התקיפה קובה, אשר נמצאת כיום בעיצומו של קמפיין התוקף חברות לוגיסטיקה, נדל”ן, חברות תעופה ועיריות בארה”ב. הקבוצה שתקפה לאחרונה חברת גיימינג והצליחה לגנוב למעלה מ-10 מיליון דולר כדמי כופר, כשלה בניסיון להגן על פרטים מזהים, שהובילו את החוקרים לסדרת תובנות אודות הקבוצה. קובה התפרסמה לראשונה לאחר פריצה משמעותית לחברת התשלומים American Funds Transfer Services, המספקת שירותים לעיריות וגופים ברחבי ארה”ב. בעקבות המתקפה, פרטים של מיליוני אזרחים נחשפו ומוצעים למכירה בדארקנט.
לאחר חקירת פעילות הקבוצה, קבעו ב-Profero וSecurity Joe’s כי התוקפים ממוצא רוסי ואינם נתמכים על ידי מדינה. כמוכן, החוקרים הצליחו למפות את נתיב דמי הכופר ולגלות כי רוב הכספים הועברו לבורסות קריפטו גדולות בהן ביננס והואבי, ולחלפנים כגון, ChangeNowו Morphtoken, המתמחים בטשטוש עקבות של מטבעות דיגיטליים. בנוסף, החוקרים מיפו העברה לארנקי מיקסר מסוג וואסאבי, המאפשרים להסוות את העברות הביטקוין, דבר המעיד על תשלום שבוצע לצד שלישי מכספי התקיפה. עוד מתארים החוקרים כי קובה מציעים למכירה בדרקאנט את המידע של חברות שסירבו להעביר תשלום.
“אחת הבעיות עם מעקב אחרי ביטקוין היא ההגעה לבורסות גדולות”, מסביר עמרי שגב מויאל, מנכ”ל חברת טיפול במשברי הסייבר Profero. “הכסף נשפך לארנק אחד גדול ומתערבב. היחיד שיכול לבצע מעקב הוא מי ששולט בבורסה ויודע כמה כסף שייך למי. כך ניתן לעקוב אחר נתיב הכסף ולאתר את זהות פושעי הסייבר. ללא מאמץ משותף ותמיכה ממשלתית גלובלית לא יהיה ניתן לאלץ את הגופים הללו להעביר את המידע.”
עידו נאור מנכ״ל SecurityJoes, “השבוע למדנו כי הממשל האמריקני מפעיל כוח משימה ייחודי להתמודדות עם תופעת הכופרות. אחת מהמשימות המשמעותיות ביותר, שלהערכתי תהיה גם אפקטיבית, תהיה לבדוק את נתיבי הכסף ולחשוף אחת ולתמיד את פורצי הסייבר, שמסתתרים מאחורי חזות לגיטימית של סוחרי קריפטו”.