DOJ forfølger $2,3 mio. i Bitcoin genvundet fra en formodet 'Chaos' ransomware-operatør

Føderale anklagere har iværksat en konfiskationssag for at kræve 2,3 millioner dollars i Bitcoin, der angiveligt er knyttet til en ransomware-aktør fra den nyligt identificerede Chaos-gruppe.

Ifølge en pressemeddelelse fra den 28. juli fra den amerikanske anklagemyndighed for det nordlige distrikt i Texas indgav justitsministeriet en civil klage med henblik på konfiskation af cirka 20,3 Bitcoin.

FBI's Dallas-afdeling beslaglagde oprindeligt den pågældende Bitcoin i midten af april fra en tegnebog knyttet til en person kendt som "Hors", som påstås at være medlem af Chaos ransomware-gruppen.

Myndighederne hævder, at midlerne er forbundet med ordninger, der var rettet mod ofre i Northern District of Texas og andre regioner, og udgør ejendom, der er involveret i eller afledt af "ulovlig aktivitet, herunder hvidvaskning af penge og afpresning" relateret til ransomware-angreb.

Retshåndhævende myndigheder fik angiveligt adgang til tegnebogen ved hjælp af en gendannelsesfrøsætning forbundet med Electrum, en ældre Bitcoin-tegnebogsplatform. Regeringen har dog ikke afsløret, hvordan frøsætningen blev opnået.

Ifølge retsdokumenter overførte føderale agenter med succes de beslaglagte midler til en regeringskontrolleret adresse.

På tidspunktet for beslaglæggelsen i april var Bitcoin cirka 1,7 millioner dollars værd.  Da klagen blev indgivet i slutningen af juli, var værdien steget til over 2,4 millioner dollars.

Ny aktør på ransomware-markedet

Chaos er en nyligt identificeret ransomware-as-a-service-operation, der har været aktiv siden mindst februar 2025.

Gruppen blev først dokumenteret af cybersikkerhedsfirmaet Cisco Talos, som har advaret om sine muligheder på tværs af platforme, der gør det muligt at målrette mod systemer, der kører Windows-, Linux-, ESXi- og NAS-systemer.

Ligesom andre RaaS-modeller licenserer Chaos sin malware til tilknyttede selskaber til gengæld for en andel af løsesumsbetalingerne.

Ofre presses typisk til at betale i kryptovaluta for at få adgang til krypterede filer igen eller for at forhindre offentliggørelse af stjålne data.

På trods af at de deler sit navn med en velkendt ransomware-builder, ser Chaos ud til at være en helt separat gruppe.

Forskere mener, at trusselsaktørerne bag ransomware-kampagnen bevidst udnytter navnet til at skjule tilskrivning og gøre sporingsindsatsen vanskeligere.

Aliaset "Hors" menes at repræsentere en af flere aktive deltagere, der bruger Chaos-platformen.

En travl måned for DOJ

Tidligere på måneden anlagde DOJ en lignende civil konfiskationssag for at inddrive mere end 7 millioner dollars i kryptovaluta, der blev beslaglagt af Homeland Security som en del af en undersøgelse af et svindelnummer med olie- og gasinvesteringer på 97 millioner dollars.

Midlerne blev angiveligt hvidvasket gennem tegnebøger knyttet til mistænkte i Rusland og Nigeria og dirigeret gennem offshore-børser.

Også i juli afslørede DOJ, at det havde samarbejdet med Tether om at inddrive $40.300 i USDT i forbindelse med et phishing-svindelnummer, der udgav sig for at være Trump-Vances indsættelseskomité.