La cachette de Bitcoin des pirates de DarkSide a été retrouvée

La société de recherche de blockchain Crystal Blockchain affirme avoir localisé leBitcoin adresse que les pirates de DarkSide ont utilisée pour collecter une rançon du Colonial Pipeline et l'ont partagée avec CoinDesk.

Contrairement à la Finance traditionnelle, avec les blockchains publiques, chaque transaction laisse une trace. Cela offre une visibilité RARE sur les mouvements d'argent du monde cybercriminel.

La semaine dernière, le pipeline Colonial a été arrêtéopérations pendant six jours, provoquant une crise de pénurie de GAS dans le sud-est des États-Unis, après que des pirates informatiques, on pense qu'il est basé en Russie, l'a frappé avec une cyberattaque, cryptant les données de l'entreprise. Le 8 mai, Colonial Pipeline a acceptépayer 75 BTC(soit environ 5 millions de dollars) aux assaillants et a pu reprendre le travail peu de temps après.

Elliptic, société d'analyse de la blockchaindit Dans un article de blog publié la semaine dernière, il a déclaré avoir identifié les adresses des portefeuilles de DarkSide, mais n'a T divulgué les adresses elles-mêmes. Selon Crystal Blockchain, une filiale de Bitfury, un fournisseur de sécurité et d'infrastructure pour la blockchain Bitcoin , l'adresse qui a reçu la rançon est bc1q7eqww9dmm9p48hx5yz5gcvmncu65w43wfytpsf.

Relier les points

Plusieurs éléments suggéraient que cette adresse était ONE impliquée dans la collecte de la rançon, a déclaré à CoinDesk Kyrylo Chykhradze, directeur produit chez Crystal Blockchain. « Nous avons trouvé les transactions dans la blockchain en connaissant le jour de la transaction et le montant envoyé », a déclaré Chykhradze. « Nous avons analysé chaque groupe potentiel (d’adresses) et trouvé des preuves supplémentaires dans ONEune d’entre elles : une transaction de 4,4 millions de dollars, soit 78 BTC envoyé par Brenntag”, une entreprise de distribution de produits chimiques.

Brenntag, une autre victime de DarkSide, a payé une rançon le 11 mai, Bleeping ComputersignaléElliptic a également mentionné cette transaction comme preuve supplémentaire pointant vers les adresses Bitcoin associées aux pirates. Autre élément de preuve souligné par Elliptic et Crystal : le groupe d'adresses associées aux pirates a envoyé sa dernière transaction jeudi dernier - le jour où DarkSide aurait ses serveurs ont été saisispar des autorités non spécifiées.

Les portefeuilles Bitcoin sont constitués de groupes d'adresses, dont les clés sont gérées par un logiciel spécifique. Les sociétés d'analyse de la blockchain combinent des adresses distinctes sur la blockchain en groupes et les associent à certaines entités à l'aide de règles empiriques spécifiques. La plus importante ONE à regrouper les entrées de transaction qui sont dépensées ensemble.

Selon les données de l'outil d'analyse de blockchain de Crystal, le cluster de DarkSide comprenait 30 adresses, qui ont reçu ensemble 321,5 BTC, depuis la première transaction le 4 mars. Tous ces fonds ont finalement quitté le cluster, le plus gros montant étant envoyé à la bourse Crypto Binance (plus de 53,3 BTC, soit 16 % de tous les fonds).

Devenir sombre

Le deuxième plus grand récepteur de fonds est le marché darknet Hydra, qui a reçu plus de 14,6 BTC des portefeuilles DarkSide, soit 4,5 % de ses fonds. Hydra est le le plus grand marché de stupéfiants illégaux au monde, opérant principalement en Russie et en Europe de l'Est, selon Chainalysis. Le site Web propose également d'autres produits illégaux, notamment de faux documents ID , de faux billets de banque, ainsi que de l'argent liquide en échange de Bitcoin.

Parmi les autres bénéficiaires des fonds de DarkSide figurent des bourses peu connues nommées REN, Zillion Bits, ainsi que la bourse centralisée basée aux États-Unis Poloniex et la bourse estonienne Garantex. De plus petites sommes ont également été envoyées à d'autres bourses majeures et marchés de Crypto peer-to-peer bien connus, notamment Coinbase, Huobi, OKEx, Paxful et LocalBitcoins.

Un montant relativement faible, moins d'un demi- BTC, a fini dans le portefeuille Wasabi, axé sur la confidentialité.

La dernière transaction envoyée par le cluster a eu lieu le 13 mai, lorsque 107 BTC ont été envoyés à un seul adresse inconnue, qui n'est actif que depuis un jour et a reçu trois transactions entrantes. Les 107 BTC, d'une valeur de plus de 4,5 millions de dollars au prix de lundi, restent sur cette adresse. On ne sait pas qui contrôle l'adresse.