DOJ verfolgt 2,3 Millionen US-Dollar in Bitcoin, die von einem mutmaßlichen "Chaos"-Ransomware-Betreiber wiederhergestellt wurden

Die Staatsanwaltschaft hat eine Beschlagnahmungsklage eingeleitet, um 2,3 Millionen US-Dollar in Bitcoin zu beanspruchen, die angeblich mit einem Ransomware-Akteur aus der neu identifizierten Chaos-Gruppe in Verbindung stehen.

Laut einer Pressemitteilung der US-Staatsanwaltschaft für den nördlichen Bezirk von Texas vom 28. Juli reichte das Justizministerium eine Zivilklage ein, in der die Einziehung von etwa 20,3 Bitcoin beantragt wird.

Die FBI-Abteilung in Dallas beschlagnahmte die fraglichen Bitcoin ursprünglich Mitte April aus einer Wallet, die mit einer Person namens "Hors" verbunden ist, die angeblich ein Mitglied der Chaos-Ransomware-Gruppe ist.

Die Behörden behaupten, dass die Gelder mit Systemen in Verbindung stehen, die auf Opfer im nördlichen Bezirk von Texas und anderen Regionen abzielten, und dass es sich um Eigentum handelt, das an "rechtswidrigen Aktivitäten, einschließlich Geldwäsche und Erpressung", im Zusammenhang mit Ransomware-Angriffen beteiligt ist oder daraus abgeleitet wird.

Berichten zufolge griffen die Strafverfolgungsbehörden auf die Wallet zu, indem sie eine Wiederherstellungs-Seed-Phrase verwendeten, die mit Electrum, einer älteren Bitcoin-Wallet-Plattform, in Verbindung gebracht wird. Die Regierung hat jedoch nicht bekannt gegeben, wie die Seed-Phrase zustande gekommen ist.

Laut Gerichtsdokumenten überwiesen Bundesagenten die beschlagnahmten Gelder erfolgreich an eine von der Regierung kontrollierte Adresse.

Zum Zeitpunkt der Beschlagnahmung im April waren die Bitcoin etwa 1,7 Millionen US-Dollar wert.  Als die Klage Ende Juli eingereicht wurde, war der Wert auf über 2,4 Millionen US-Dollar gestiegen.

Neueinsteiger auf dem Ransomware-Markt

Chaos ist eine neu identifizierte Ransomware-as-a-Service-Operation, die seit mindestens Februar 2025 aktiv ist.

Die Gruppe wurde zuerst von der Cybersicherheitsfirma Cisco Talos dokumentiert , die vor ihren plattformübergreifenden Fähigkeiten gewarnt hat, die es ihr ermöglichen, Systeme mit Windows-, Linux-, ESXi- und NAS-Systemen ins Visier zu nehmen.

Wie andere RaaS-Modelle lizenziert Chaos seine Malware an verbundene Unternehmen im Austausch für einen Teil der Lösegeldzahlungen.

Die Opfer werden in der Regel unter Druck gesetzt, in Kryptowährung zu bezahlen, um wieder Zugang zu verschlüsselten Dateien zu erhalten oder die Veröffentlichung gestohlener Daten zu verhindern.

Obwohl Chaos seinen Namen mit einem bekannten Ransomware-Hersteller teilt, scheint es sich um eine völlig separate Gruppe zu handeln.

Forscher glauben, dass die Bedrohungsakteure hinter der Ransomware-Kampagne den Namen möglicherweise absichtlich nutzen, um die Zuordnung zu verschleiern und die Nachverfolgung zu erschweren.

Es wird angenommen, dass der Alias "Hors" einen von mehreren aktiven Teilnehmern darstellt, die die Chaos-Plattform nutzen.

Ein arbeitsreicher Monat für das DOJ

Anfang dieses Monats reichte das DOJ eine ähnliche zivilrechtliche Einziehungsklage ein, um mehr als 7 Millionen US-Dollar an Kryptowährung zurückzufordern, die von der Heimatschutzbehörde im Rahmen einer Untersuchung eines Betrugs mit Öl- und Gasinvestitionen in Höhe von 97 Millionen US-Dollar beschlagnahmt worden waren.

Die Gelder wurden angeblich über Wallets gewaschen, die mit Verdächtigen in Russland und Nigeria in Verbindung stehen, und über Offshore-Börsen geleitet.

Ebenfalls im Juli gab das DOJ bekannt, dass es mit Tether zusammengearbeitet hat, um 40.300 US-Dollar in USDT zurückzufordern, die mit einem Phishing-Betrug in Verbindung stehen, bei dem sich das Trump-Vance-Eröffnungskomitee ausgab.