Tracciato il nascondiglio Bitcoin degli hacker di DarkSide

La società di investigazione blockchain Crystal Blockchain afferma di aver individuato ilBitcoin indirizzo che gli hacker di DarkSide hanno utilizzato per riscuotere il riscatto dal Colonial Pipeline e lo hanno condiviso con CoinDesk.

A differenza della Finanza tradizionale, con le blockchain pubbliche ogni transazione lascia una traccia. Ciò fornisce RARE visibilità sui movimenti di denaro del mondo dei criminali informatici.

La scorsa settimana, il Colonial Pipeline si è fermatooperazioni per sei giorni, provocando una crisi di carenza GAS nel sud-est degli Stati Uniti, dopo che gli hacker, si ritiene che abbia sede in Russia, lo ha colpito con un attacco informatico, crittografando i dati dell'azienda. L'8 maggio, Colonial Pipeline ha accettato dipaga 75 BTC(circa 5 milioni di dollari) agli aggressori e subito dopo ha potuto riprendere a lavorare.

Società di analisi blockchain Ellipticdisse in un post del blog della scorsa settimana, ha dichiarato di aver identificato gli indirizzi dei wallet di DarkSide, ma T ha divulgato gli indirizzi stessi. Secondo Crystal Blockchain, una sussidiaria di Bitfury, un fornitore di sicurezza e infrastrutture per la blockchain Bitcoin , l'indirizzo che ha ricevuto il riscatto è bc1q7eqww9dmm9p48hx5yz5gcvmncu65w43wfytpsf.

Collegare i puntini

C'erano diversi fatti che suggerivano che questo indirizzo fosse ONE coinvolto nella riscossione del riscatto, ha detto a CoinDesk Kyrylo Chykhradze, product director di Crystal Blockchain. "Abbiamo trovato le transazioni nella blockchain conoscendo il giorno della transazione e l'importo inviato", ha detto Chykhradze. "Abbiamo analizzato ogni potenziale cluster (di indirizzi) e abbiamo trovato ulteriori prove in ONE di essi: una transazione di $ 4,4 milioni, o 78 BTC inviato da Brenntag,” un'azienda di distribuzione di prodotti chimici.

Brenntag, un'altra vittima di DarkSide, ha pagato un riscatto l'11 maggio, Bleeping Computersegnalato. Elliptic ha anche menzionato quella transazione come ulteriore prova che punta agli indirizzi Bitcoin associati agli hacker. Un'altra prova evidenziata sia da Elliptic che da Crystal: il cluster di indirizzi associati agli hacker ha inviato la sua ultima transazione giovedì scorso, il giorno in cui DarkSide avrebbe ha avuto i suoi server sequestratida autorità non specificate.

I portafogli Bitcoin sono costituiti da cluster di indirizzi, le cui chiavi sono gestite da software specifici. Le aziende di analisi blockchain combinano indirizzi separati sulla blockchain in cluster e li associano a determinate entità utilizzando regole pratiche specifiche. La più importante ONE il clustering degli input delle transazioni che vengono spesi insieme.

Secondo i dati dello strumento di analisi blockchain di Crystal, il cluster di DarkSide includeva 30 indirizzi, che complessivamente hanno ricevuto 321,5 BTC, dalla prima transazione del 4 marzo. Tutti quei fondi alla fine hanno abbandonato il cluster, con la quantità maggiore inviata al Cripto exchange Binance (oltre 53,3 BTC, ovvero il 16% di tutti i fondi).

Andare al buio

Il secondo più grande destinatario di fondi è il mercato darknet Hydra, che ha ricevuto oltre 14,6 BTC dai portafogli DarkSide, ovvero il 4,5% dei suoi fondi. Hydra è il il più grande mercato di stupefacenti illegali del mondo, che opera principalmente in Russia e nell'Europa orientale, secondo Chainalysis. Il sito web fornisce anche altri beni illegali, tra cui falsi documenti ID , banconote contraffatte, nonché denaro fisico in cambio di Bitcoin.

Altri destinatari dei fondi DarkSide includono exchange poco noti denominati REN, Zillion Bits, così come l'exchange centralizzato statunitense Poloniex e Garantex con sede in Estonia. Importi più piccoli sono stati inviati anche ad altri noti exchange e mercati Cripto peer-to-peer, tra cui Coinbase, Huobi, OKEx, Paxful e LocalBitcoins.

Una quantità relativamente piccola, meno di mezzo BTC, è finita nel portafoglio Wasabi, orientato alla privacy.

L'ultima transazione inviata dal cluster è avvenuta il 13 maggio, quando 107 BTC sono stati inviati a un singolo indirizzo sconosciuto, che è attivo solo da ONE giorno e ha ricevuto tre transazioni in entrata. I 107 BTC, che valgono oltre 4,5 milioni di $ al prezzo di lunedì, rimangono su quell'indirizzo. Non è chiaro chi controlla l'indirizzo.