Эксперты отследили биткойн-кошелек группировки DarkSide

Вт 18 Май 2021 11:10

Компания Crystal Blockchain, занимающаяся расследованиями в области блокчейна, заявила об обнаружении биткойн-адреса, использовавшегося кибервымогательской группировкой DarkSide для получения выкупа от компании Colonial Pipeline.

На прошлой неделе американском топливному гиганту Colonial Pipeline пришлось на шесть дней приостановить свои операции из-за кибератаки с использованием вымогательского ПО DarkSide. 8 мая компания заплатила вымогателям 75 биткойнов (порядка $5 млн) и вскоре после этого смогла начать восстанавливать работу.

Как ранее сообщила ИБ-компания Elliptic, ей тоже удалось идентифицировать адрес кошелька DarkSide, но она решила не публиковать его. Тем не менее, Crystal Blockchain не нашла причин скрывать его от общественности и сообщила адрес читателям издания CoinDesk – bc1q7eqww9dmm9p48hx5yz5gcvmncu65w43wfytpsf.

По словам директора по продуктам Crystal Blockchain Кирило Чихрадзе (Kyrylo Chykhradze), существует несколько фактов, свидетельствующих о том, что именно этот адрес использовался DarkSide для получения выкупа от своих жертв.

«Мы идентифицировали транзакции в блокчейне, зная день транзакции и отправленную сумму. Мы проанализировали каждый потенциальный кластер (адресов) и обнаружили в одном из них дополнительные доказательства: транзакцию на $4,4 млн или 78 BTC, отправленную химической дистрибьюторской компанией Brenntag», – сообщил Чихрадзе.

Brenntag, еще одна жертва DarkSide, заплатила выкуп 11 мая. Специалисты Elliptic также упомянули эту транзакцию в качестве дополнительного доказательства, указывающего на связанные с хакерами биткойн-адреса. Еще одно свидетельство, упомянутое как Elliptic, так и Crystal: последняя транзакция с участием этих адресов была проведена в четверг, 13 мая, – день, когда группировка DarkSide лишилась доступа к своим серверам.

По данным Crystal Blockchain, кластер DarkSide включал 30 адресов, на которые с момента первой транзакции 4 марта было в общей сложности переведено 321,5 биткойна. Все эти средства в конечном итоге покинули кластер, причем самая большая сумма была отправлена на криптовалютную биржу Binance (более 53,3 биткойна или 16% от всех средств).

Вторым по величине получателем средств является подпольная торговая площадка Hydra, получившая с кошельков DarkSide более 14,6 биткойна (4,5% средств). Hydra является крупнейшим в мире рынком наркотиков, работающий в основном в России и Восточной Европе.

Среди других получателей средств DarkSide – малоизвестные биржи Ren, Zillion Bits, а также централизованная биржа Poloniex в США и Garantex в Эстонии. Меньшие суммы также были отправлены на другие известные крупные биржи и одноранговые криптографические площадки, включая Coinbase, Huobi, OKEx, Paxful и LocalBitcoins. Относительно небольшая сумма оказалась в защищенном кошельке Wasabi.

Последняя транзакция с участием вышеупомянутых кластеров адресов произошла 13 мая, когда 107 биткойнов были отправлены на единственный неизвестный адрес, который был активен только один день и получил только три входящие транзакции. В настоящее время 107 биткойнов на сумму более $4,5 все еще находятся в этом кошельке. Кто является его владельцем, неизвестно.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 135 дней 17 часов 44 минуты 10 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.