Финансовая фирма, зарегистрированная в Канаде, стала платежным процессором для десятков российских криптовалютных бирж и веб-сайтов, предлагающих услуги киберпреступности, нацеленные на русскоязычных клиентов, как показывают новые исследования. Между тем, расследование адреса в Ванкувере, используемого этой компанией, показывает, что там находятся десятки валютных дилеров, компаний по переводу денег и криптовалютных бирж — ни одна из которых физически там не расположена.
Ричард Сандерс — блокчейн-аналитик и следователь, консультирующий правоохранительные органы и разведывательное сообщество. Сандерс провел большую часть 2023 года на Украине, путешествуя с украинскими солдатами и одновременно составляя карту меняющегося ландшафта российских криптобирж, которые отмывают деньги для наркосетей, действующих в регионе.
Совсем недавно Сандерс сосредоточился на выявлении того, как десятки популярных сервисов киберпреступности получают оплату от своих клиентов, и как они конвертируют доходы от криптовалюты в наличные. В течение последних нескольких месяцев он регистрировался в различных сервисах киберпреступности, а затем отслеживал, куда уходят средства их клиентов.
В число 122 сервисов, рассматриваемых в исследовании Сандерса, входят некоторые из наиболее известных компаний, размещающих сегодня рекламу на форумах, посвященных киберпреступности, такие как:
- дружелюбные к злоупотреблениям или «пуленепробиваемые» хостинг-провайдеры, такие как anonvm[.]wtf и PQHosting;
- сайты, продающие старые учетные записи электронной почты, финансовых или социальных сетей, такие как verif[.]work и kopeechka[.]store;
- поставщики услуг анонимности или «прокси-серверов», такие как crazyrdp[.]com и rdp[.]monster;
- анонимные SMS-сервисы, включая anonsim[.]net и smsboss[.]pro.
Сайт Verif dot work, который обрабатывает платежи через Cryptomus, продает финансовые счета, включая дебетовые и кредитные карты.
Сандерс рассказал, что впервые столкнулся с некоторыми из этих сервисов, когда расследовал финансируемую Кремлем кампанию по распространению дезинформации на Украине, поскольку все они полезны для организации масштабных анонимных кампаний в социальных сетях.
По словам Сандерса, все 122 протестированных им сервиса обрабатывают транзакции через компанию Cryptomus, которая заявляет, что является платформой криптовалютных платежей, базирующейся в Ванкувере, Британская Колумбия. На сайте Cryptomus говорится, что ее материнская фирма — Xeltox Enterprises Ltd. (ранее certa-pay[.]com) — зарегистрирована как компания по предоставлению денежных услуг (MSB) в Центре анализа финансовых транзакций и отчетов Канады (FINTRAC).
Сандерс сообщил, что собранные им данные о платежах также показывают, что по крайней мере 56 криптовалютных бирж в настоящее время используют Cryptomus для обработки транзакций, включая финансовые организации с такими названиями, как casher[.]su, grumbot[.]com, flymoney[.]biz, obama[.]ru и swop[.]is.
Эти платформы созданы для русскоязычных, и каждая из них рекламирует возможность анонимного обмена одной формы криптовалюты на другую. Они также позволяют обменивать криптовалюту на наличные на счетах в некоторых крупнейших банках России — почти все из которых в настоящее время находятся под санкциями Соединенных Штатов и других западных стран.
Машинно-переведенная версия Flymoney, одной из десятков криптовалютных бирж, по-видимому, входящих в Cryptomus.
Анализ их технологической инфраструктуры показывает, что все эти биржи используют российских провайдеров электронной почты, и большинство из них напрямую размещены в России или у поддерживаемых Россией интернет-провайдеров с инфраструктурой в Европе (например, Selectel, Netwarm UK, Beget, Timeweb и DDoS-Guard). Анализ также показал, что почти все 56 бирж использовали сервисы Cloudflare, глобальной сети доставки контента, базирующейся в Сан-Франциско.
«Предположительно, цель этих платформ — чтобы компании принимали криптовалютные платежи в обмен на товары или услуги», — сказал Сандерс KrebsOnSecurity. «К сожалению, практически невозможно найти какие-либо товары для продажи на сайтах, использующих Cryptomus, а услуги, по-видимому, попадают в одну или две разные категории: содействие транзакциям с санкционированными российскими банками и платформы, предоставляющие инфраструктуру и средства для кибератак».
Cryptomus не ответил на многочисленные просьбы прокомментировать ситуацию.
Это здание по адресу 422 Richards St. в центре Ванкувера является зарегистрированным адресом для 90 компаний, предоставляющих финансовые услуги, включая 10, чьи регистрации были отозваны. Изображение: theijf.org/msb-cluster-investigation.
Их расследование показало, что 422 Richards St. был указан как зарегистрированный адрес по меньшей мере для 76 валютных дилеров, восьми MSB и шести криптовалютных бирж. По этому адресу находится трехэтажное здание, которое раньше было банком, а теперь в нем находится клиника массажной терапии и коворкинг. Но они обнаружили, что ни один из MSB или валютных дилеров не платил за услуги в этом коворкинге.
Журналисты обнаружили еще одну группу из 97 MSB, сгруппированных по адресу коммерческого офисного комплекса в Онтарио, хотя не было никаких доказательств того, что эти компании когда-либо заказывали какие-либо деловые услуги по этому адресу.
Питер Герман, бывший заместитель комиссара Королевской канадской конной полиции, автор двух докладов об отмывании денег в Британской Колумбии, заявил изданиям, что это противоречит духу требований Канады к регистрации таких предприятий, которые считаются высокорискованными с точки зрения отмывания денег и финансирования терроризма.
«Если в одном здании может находиться 70 человек, это просто злоупотребление всей системой», — сказал Герман.
Десять MSB, зарегистрированных по адресу 422 Richard St., были аннулированы. Одна компания по адресу 422 Richards St., регистрация которой была аннулирована в этом году, имела директора с указанным адресом в России, сообщают издания. «Другие, по-видимому, управляются людьми, которые также являются директорами компаний на Кипре и в других юрисдикциях с высоким риском отмывания денег», — написали они.
Обзор реестра FINTRAC (.CSV) показывает, что многие MSB по адресу 422 Richards St. являются международными службами денежных переводов или пересылки в такие страны, как Малайзия, Индия и Нигерия. Некоторые из них действуют как валютные биржи, в то время как другие, по-видимому, продают торговые счета и услуги онлайн-платежей. Тем не менее, KrebsOnSecurity не удалось найти очевидных связей между 56 российскими криптовалютными биржами, идентифицированными Сандерсом, и десятками платежных компаний, которые, по словам FINTRAC, имеют общий адрес с материнской компанией Cryptomus Xeltox Enterprises.
По словам Сандерса, к сентябрю 2023 года он обнаружил, что все отслеживаемые им биржи были вложены друг в друга, как матрешки в Cryptomus, что добавляет дополнительный уровень запутывания ко всем транзакциям, создавая новый криптовалютный кошелек для каждого заказа.
«Они все просто перешли на Cryptomus», — сказал он. «Cryptomus генерирует новые кошельки для каждого заказа, предоставляя постоянную атрибуцию для требуемых транзакций с высокими комиссиями каждый раз».
«Такие биржи, как Binance и OKX, исключив Сбербанк и другие санкционированные банки и отстранив российских пользователей, не лишили россиян возможности легко вводить и выводить криптовалюту», — продолжил он. «На самом деле, стало проще, потому что на биржах мгновенного обмена даже нет правил «Знай своего клиента». Санкции США привели к тому, что большинство российских мгновенных бирж перешли со своих кошельков с самообслуживанием на платформы, особенно Cryptomus».
Президент России Владимир Путин в августе подписал новый закон, легализующий майнинг криптовалют и разрешающий использование криптовалют для международных платежей. Принятие российским правительством криптовалюты стало примечательным поворотом: Bloomberg отмечает, что еще в январе 2022 года, всего за несколько недель до полномасштабного вторжения России в Украину, Центробанк предложил ввести полный запрет на использование и создание криптовалют.
В опубликованном в сентябре отчете о планах России в отношении криптовалют компания Chainalysis, занимающаяся анализом блокчейна, заявила, что шаги России по интеграции криптовалют в свою финансовую систему могут улучшить ее способность обходить финансовую систему США и участвовать в торговле, не номинированной в долларах.
«Хотя может быть сложно количественно оценить истинное воздействие определенных санкционных мер, тот факт, что российские официальные лица выделили влияние санкций на способность Москвы обрабатывать трансграничную торговлю, говорит о том, что ощущаемое воздействие достаточно велико, чтобы побудить к срочной легитимации и инвестированию в альтернативные платежные каналы, которые они когда-то осуждали», — оценивает Chainalysis.
На вопрос о своей оценке деятельности Cryptomus компания Chainanlysis ответила, что Cryptomus используется преступниками всех мастей для отмывания денег и/или покупки товаров и услуг.
«Мы видим, что злоумышленники, занимающиеся программами-вымогателями, наркотиками, рынками даркнета, мошенничеством, киберпреступностью, санкционированными организациями и юрисдикциями, а также хактивизмом, вносят депозиты в Cryptomus для покупок, а также отмывают деньги, используя платежный API Cryptomos», — говорится в заявлении компании.
Единственным акционером и директором этой компании указана 25-летняя украинка из Чехии по имени Вира Кричка. Г-жа Кричка недавно была назначена директором нескольких других новых британских фирм, включая компанию, созданную в феврале 2024 года под названием Globopay UAB Ltd, и еще одну под названием WS Management and Advisory Corporation Ltd. Г-жа Кричка не ответила на запрос о комментарии.
WS Management and Advisory Corporation позиционирует себя как регулирующий орган, который осуществляет эксклюзивный надзор за лицензиями криптовалют в юрисдикции Западной Сахары, спорной территории на северо-западе Африки. На ее веб-сайте говорится, что компания помогает заявителям с созданием и формированием банков, лицензиями на онлайн-игры, а также созданием и лицензированием брокеров по обмену валют. Один из бывших веб-сайтов Certa Payments — certa[.]website — также делил сервер с 12 другими доменами, включая rasd-state[.]ws, веб-сайт Центрального резервного управления Западной Сахары.
Сайт crasadr dot com, официальный сайт Центрального резервного управления Западной Сахары.
В этом реестре предприятий Чешской Республики указано, что г-жа Кричка работает директором в рекламной и маркетинговой фирме Icon Tech SRO, которая ранее называлась Blaven Technologies (на веб-сайте Blaven указано, что это поставщик услуг онлайн-платежей).
В августе 2024 года Icon Tech снова сменила название на Mezhundarondnaya IBU SRO, которая описывает себя как «опытную компанию в сфере ИТ-консалтинга», базирующуюся в Армении. В том же реестре говорится, что г-жа Кричка каким-то образом также является директором турецкого инвестиционного предприятия. Столько деловой хватки в столь юном возрасте!
На данный момент Канада остается привлекательным местом для криптовалютного бизнеса, чтобы открыть магазин, по крайней мере на бумаге. IJF и CTV News обнаружили, что по состоянию на февраль 2024 года в Канаде было чуть более 3000 активно зарегистрированных MSB, 1247 из которых располагались в том же здании, что и по крайней мере один другой MSB.
«Этот анализ не включает около 2700 MSB, чьи регистрации истекли, были аннулированы или иным образом остановлены», — отметили они. «Если их включить, то ошеломляющие 2061 из 5705 MSB делят здание по крайней мере с одним другим MSB».
Источник

Ричард Сандерс — блокчейн-аналитик и следователь, консультирующий правоохранительные органы и разведывательное сообщество. Сандерс провел большую часть 2023 года на Украине, путешествуя с украинскими солдатами и одновременно составляя карту меняющегося ландшафта российских криптобирж, которые отмывают деньги для наркосетей, действующих в регионе.
Совсем недавно Сандерс сосредоточился на выявлении того, как десятки популярных сервисов киберпреступности получают оплату от своих клиентов, и как они конвертируют доходы от криптовалюты в наличные. В течение последних нескольких месяцев он регистрировался в различных сервисах киберпреступности, а затем отслеживал, куда уходят средства их клиентов.
В число 122 сервисов, рассматриваемых в исследовании Сандерса, входят некоторые из наиболее известных компаний, размещающих сегодня рекламу на форумах, посвященных киберпреступности, такие как:
- дружелюбные к злоупотреблениям или «пуленепробиваемые» хостинг-провайдеры, такие как anonvm[.]wtf и PQHosting;
- сайты, продающие старые учетные записи электронной почты, финансовых или социальных сетей, такие как verif[.]work и kopeechka[.]store;
- поставщики услуг анонимности или «прокси-серверов», такие как crazyrdp[.]com и rdp[.]monster;
- анонимные SMS-сервисы, включая anonsim[.]net и smsboss[.]pro.

Сайт Verif dot work, который обрабатывает платежи через Cryptomus, продает финансовые счета, включая дебетовые и кредитные карты.
Сандерс рассказал, что впервые столкнулся с некоторыми из этих сервисов, когда расследовал финансируемую Кремлем кампанию по распространению дезинформации на Украине, поскольку все они полезны для организации масштабных анонимных кампаний в социальных сетях.
По словам Сандерса, все 122 протестированных им сервиса обрабатывают транзакции через компанию Cryptomus, которая заявляет, что является платформой криптовалютных платежей, базирующейся в Ванкувере, Британская Колумбия. На сайте Cryptomus говорится, что ее материнская фирма — Xeltox Enterprises Ltd. (ранее certa-pay[.]com) — зарегистрирована как компания по предоставлению денежных услуг (MSB) в Центре анализа финансовых транзакций и отчетов Канады (FINTRAC).
Сандерс сообщил, что собранные им данные о платежах также показывают, что по крайней мере 56 криптовалютных бирж в настоящее время используют Cryptomus для обработки транзакций, включая финансовые организации с такими названиями, как casher[.]su, grumbot[.]com, flymoney[.]biz, obama[.]ru и swop[.]is.
Эти платформы созданы для русскоязычных, и каждая из них рекламирует возможность анонимного обмена одной формы криптовалюты на другую. Они также позволяют обменивать криптовалюту на наличные на счетах в некоторых крупнейших банках России — почти все из которых в настоящее время находятся под санкциями Соединенных Штатов и других западных стран.

Машинно-переведенная версия Flymoney, одной из десятков криптовалютных бирж, по-видимому, входящих в Cryptomus.
Анализ их технологической инфраструктуры показывает, что все эти биржи используют российских провайдеров электронной почты, и большинство из них напрямую размещены в России или у поддерживаемых Россией интернет-провайдеров с инфраструктурой в Европе (например, Selectel, Netwarm UK, Beget, Timeweb и DDoS-Guard). Анализ также показал, что почти все 56 бирж использовали сервисы Cloudflare, глобальной сети доставки контента, базирующейся в Сан-Франциско.
«Предположительно, цель этих платформ — чтобы компании принимали криптовалютные платежи в обмен на товары или услуги», — сказал Сандерс KrebsOnSecurity. «К сожалению, практически невозможно найти какие-либо товары для продажи на сайтах, использующих Cryptomus, а услуги, по-видимому, попадают в одну или две разные категории: содействие транзакциям с санкционированными российскими банками и платформы, предоставляющие инфраструктуру и средства для кибератак».
Cryptomus не ответил на многочисленные просьбы прокомментировать ситуацию.
ФАНТОМНЫЕ АДРЕСА?
На сайте Cryptomus и в списке FINTRAC указано, что зарегистрированный адрес компании — Suite 170, 422 Richards St. в Ванкувере, Британская Колумбия. Этот адрес был предметом расследования, опубликованного в июле CTV National News и Investigative Journalism Foundation (IJF), которые задокументировали десятки случаев по всей Канаде, когда несколько MSB были зарегистрированы по одному и тому же адресу, часто без ведома или согласия фактического владельца этого места.
Это здание по адресу 422 Richards St. в центре Ванкувера является зарегистрированным адресом для 90 компаний, предоставляющих финансовые услуги, включая 10, чьи регистрации были отозваны. Изображение: theijf.org/msb-cluster-investigation.
Их расследование показало, что 422 Richards St. был указан как зарегистрированный адрес по меньшей мере для 76 валютных дилеров, восьми MSB и шести криптовалютных бирж. По этому адресу находится трехэтажное здание, которое раньше было банком, а теперь в нем находится клиника массажной терапии и коворкинг. Но они обнаружили, что ни один из MSB или валютных дилеров не платил за услуги в этом коворкинге.
Журналисты обнаружили еще одну группу из 97 MSB, сгруппированных по адресу коммерческого офисного комплекса в Онтарио, хотя не было никаких доказательств того, что эти компании когда-либо заказывали какие-либо деловые услуги по этому адресу.
Питер Герман, бывший заместитель комиссара Королевской канадской конной полиции, автор двух докладов об отмывании денег в Британской Колумбии, заявил изданиям, что это противоречит духу требований Канады к регистрации таких предприятий, которые считаются высокорискованными с точки зрения отмывания денег и финансирования терроризма.
«Если в одном здании может находиться 70 человек, это просто злоупотребление всей системой», — сказал Герман.
Десять MSB, зарегистрированных по адресу 422 Richard St., были аннулированы. Одна компания по адресу 422 Richards St., регистрация которой была аннулирована в этом году, имела директора с указанным адресом в России, сообщают издания. «Другие, по-видимому, управляются людьми, которые также являются директорами компаний на Кипре и в других юрисдикциях с высоким риском отмывания денег», — написали они.
Обзор реестра FINTRAC (.CSV) показывает, что многие MSB по адресу 422 Richards St. являются международными службами денежных переводов или пересылки в такие страны, как Малайзия, Индия и Нигерия. Некоторые из них действуют как валютные биржи, в то время как другие, по-видимому, продают торговые счета и услуги онлайн-платежей. Тем не менее, KrebsOnSecurity не удалось найти очевидных связей между 56 российскими криптовалютными биржами, идентифицированными Сандерсом, и десятками платежных компаний, которые, по словам FINTRAC, имеют общий адрес с материнской компанией Cryptomus Xeltox Enterprises.
УКЛОНЕНИЕ ОТ САНКЦИЙ
В августе 2023 года Binance и некоторые из крупнейших криптовалютных бирж отреагировали на санкции против России, отключив многие российские банки и ограничив российских клиентов транзакциями только в рублях. Сандерс сказал, что до этого изменения большинство бирж, которые в настоящее время обслуживаются Cryptomus, обрабатывали средства клиентов с помощью собственных криптовалютных кошельков с самообслуживанием.По словам Сандерса, к сентябрю 2023 года он обнаружил, что все отслеживаемые им биржи были вложены друг в друга, как матрешки в Cryptomus, что добавляет дополнительный уровень запутывания ко всем транзакциям, создавая новый криптовалютный кошелек для каждого заказа.

«Они все просто перешли на Cryptomus», — сказал он. «Cryptomus генерирует новые кошельки для каждого заказа, предоставляя постоянную атрибуцию для требуемых транзакций с высокими комиссиями каждый раз».
«Такие биржи, как Binance и OKX, исключив Сбербанк и другие санкционированные банки и отстранив российских пользователей, не лишили россиян возможности легко вводить и выводить криптовалюту», — продолжил он. «На самом деле, стало проще, потому что на биржах мгновенного обмена даже нет правил «Знай своего клиента». Санкции США привели к тому, что большинство российских мгновенных бирж перешли со своих кошельков с самообслуживанием на платформы, особенно Cryptomus».
Президент России Владимир Путин в августе подписал новый закон, легализующий майнинг криптовалют и разрешающий использование криптовалют для международных платежей. Принятие российским правительством криптовалюты стало примечательным поворотом: Bloomberg отмечает, что еще в январе 2022 года, всего за несколько недель до полномасштабного вторжения России в Украину, Центробанк предложил ввести полный запрет на использование и создание криптовалют.
В опубликованном в сентябре отчете о планах России в отношении криптовалют компания Chainalysis, занимающаяся анализом блокчейна, заявила, что шаги России по интеграции криптовалют в свою финансовую систему могут улучшить ее способность обходить финансовую систему США и участвовать в торговле, не номинированной в долларах.
«Хотя может быть сложно количественно оценить истинное воздействие определенных санкционных мер, тот факт, что российские официальные лица выделили влияние санкций на способность Москвы обрабатывать трансграничную торговлю, говорит о том, что ощущаемое воздействие достаточно велико, чтобы побудить к срочной легитимации и инвестированию в альтернативные платежные каналы, которые они когда-то осуждали», — оценивает Chainalysis.
На вопрос о своей оценке деятельности Cryptomus компания Chainanlysis ответила, что Cryptomus используется преступниками всех мастей для отмывания денег и/или покупки товаров и услуг.
«Мы видим, что злоумышленники, занимающиеся программами-вымогателями, наркотиками, рынками даркнета, мошенничеством, киберпреступностью, санкционированными организациями и юрисдикциями, а также хактивизмом, вносят депозиты в Cryptomus для покупок, а также отмывают деньги, используя платежный API Cryptomos», — говорится в заявлении компании.
ИГРЫ В НАПЕЧКИ
Неясно, присутствуют ли Cryptomus и/или Xeltox Enterprises в Канаде вообще. Поиск в реестре Companies House Соединенного Королевства по прежнему названию Xeltox — Certa Payments Ltd. — показывает, что организация с таким названием была зарегистрирована в почтовом ящике в Лондоне в декабре 2023 года.Единственным акционером и директором этой компании указана 25-летняя украинка из Чехии по имени Вира Кричка. Г-жа Кричка недавно была назначена директором нескольких других новых британских фирм, включая компанию, созданную в феврале 2024 года под названием Globopay UAB Ltd, и еще одну под названием WS Management and Advisory Corporation Ltd. Г-жа Кричка не ответила на запрос о комментарии.
WS Management and Advisory Corporation позиционирует себя как регулирующий орган, который осуществляет эксклюзивный надзор за лицензиями криптовалют в юрисдикции Западной Сахары, спорной территории на северо-западе Африки. На ее веб-сайте говорится, что компания помогает заявителям с созданием и формированием банков, лицензиями на онлайн-игры, а также созданием и лицензированием брокеров по обмену валют. Один из бывших веб-сайтов Certa Payments — certa[.]website — также делил сервер с 12 другими доменами, включая rasd-state[.]ws, веб-сайт Центрального резервного управления Западной Сахары.

Сайт crasadr dot com, официальный сайт Центрального резервного управления Западной Сахары.
В этом реестре предприятий Чешской Республики указано, что г-жа Кричка работает директором в рекламной и маркетинговой фирме Icon Tech SRO, которая ранее называлась Blaven Technologies (на веб-сайте Blaven указано, что это поставщик услуг онлайн-платежей).
В августе 2024 года Icon Tech снова сменила название на Mezhundarondnaya IBU SRO, которая описывает себя как «опытную компанию в сфере ИТ-консалтинга», базирующуюся в Армении. В том же реестре говорится, что г-жа Кричка каким-то образом также является директором турецкого инвестиционного предприятия. Столько деловой хватки в столь юном возрасте!
На данный момент Канада остается привлекательным местом для криптовалютного бизнеса, чтобы открыть магазин, по крайней мере на бумаге. IJF и CTV News обнаружили, что по состоянию на февраль 2024 года в Канаде было чуть более 3000 активно зарегистрированных MSB, 1247 из которых располагались в том же здании, что и по крайней мере один другой MSB.
«Этот анализ не включает около 2700 MSB, чьи регистрации истекли, были аннулированы или иным образом остановлены», — отметили они. «Если их включить, то ошеломляющие 2061 из 5705 MSB делят здание по крайней мере с одним другим MSB».
Источник