Bộ Tư pháp Hoa Kỳ thông báo rằng họ đã thu hồi được một phần tiền chuộc bằng tiền điện tử do Colonial Pipeline trả cho ransomware DarkSide.

Được biết, Colonial Pipeline, đường ống dẫn nhiên liệu lớn nhất ở Hoa Kỳ, trước đây đã bị tấn công bởi ransomware DarkSide và DarkSide đã yêu cầu khoản tiền chuộc bitcoin trị giá 5 triệu đô la. Colonial Pipeline đã chuyển khoản tiền chuộc 75 BTC vào ngày 9 tháng 5, giờ Bắc Kinh.

Theo CoinHolmes, một hệ thống chống rửa tiền và chống gian lận thuộc PeckShield, sau khi Colonial Pipeline chuyển khoản tiền chuộc 75 BTC, 75 BTC đã được chuyển đến hai địa chỉ ví bắt đầu bằng bc1qxu và bc1qu5 tương ứng và tỷ lệ tiền chuộc là khoảng 84 % và 16%.

PeckShield trước đây đã phân tích rằng DarkSide, một tổ chức ransomware, đã hình thành một chuỗi ngành "Ransomware-as-a-Service (RaaS)" hoàn chỉnh. Các nhà phát triển cung cấp các phương pháp và công cụ tội phạm cho bên tiếp theo, sau đó thu lợi nhuận. Từ sơ đồ dòng tiền, có thể thấy rằng thứ bị FBI đóng băng lần này là tiền tống tiền hạ nguồn (bắt đầu bằng bc1qxu, 63,7 BTC) và tiền của nhà phát triển đã không được chuyển kể từ khi chúng được nhận (bắt đầu bằng bc1qu5 , 11,2 BTC).

63,7 BTC bắt đầu bằng bc1qxu thuộc hạ nguồn của ransomware đầu tiên được chuyển đến địa chỉ bắt đầu bằng 3EYkxQ, sau đó được chuyển đến địa chỉ bắt đầu bằng bc1qq2, sau đó được chuyển đến địa chỉ đích bắt đầu bằng bc1qpx trong hai giao dịch (địa chỉ mà FBI giữ khóa riêng, 63,7 BTC) và một địa chỉ khác (5,9 BTC).

Một bản khai có tuyên thệ được đệ trình hôm thứ Hai cho thấy việc thu hồi tiền chuộc là do FBI đã có khóa riêng của một ví khóa trong quá trình chuyển giao, nhưng không tiết lộ cách thức FBI lấy được khóa này.

Chuyên gia chống rửa tiền "Paid Shield" của PeckShield cho biết: "FBI có khả năng đã lần ra tác nhân máy chủ ransomware ở Hoa Kỳ, sau đó đã lấy được và khóa riêng tư có thể được lưu trữ trên máy chủ."

Trước đó, trang web của DarkSide đã bị chặn, họ đã đưa ra một văn bản thông báo về việc giải tán và chuyển tiền trên máy chủ thanh toán đến một địa chỉ không xác định.

"Trước đây, chúng tôi đã giúp cảnh sát theo dõi các trường hợp tiền ảo liên quan đến rửa tiền. Nói chung, bằng cách theo dõi và phân tích dòng tiền, phân tích các mô hình giao dịch và thông tin đối tác, nếu nghi phạm hình sự sử dụng một tổ chức giao dịch tập trung để rửa tiền, anh ta có thể sử dụng trung tâm vị trí để Trong trường hợp của Colonial Pipeline, tài sản không chảy vào tổ chức giao dịch tập trung và FBI không nên thu giữ tiền theo cách này. chuyên gia chống rửa tiền “Paid Shield” của PeckShield giải thích.