Il Dipartimento di Giustizia persegue 2,3 milioni di dollari in Bitcoin recuperati da un sospetto operatore di ransomware "Chaos"

I pubblici ministeri federali hanno avviato un'azione di confisca per rivendicare 2,3 milioni di dollari in Bitcoin, presumibilmente legati a un attore di ransomware del gruppo Chaos appena identificato.

Secondo un comunicato stampa del 28 luglio dell'Ufficio del Procuratore degli Stati Uniti per il Distretto Settentrionale del Texas, il Dipartimento di Giustizia ha presentato una denuncia civile chiedendo la confisca di circa 20,3 Bitcoin.

La divisione di Dallas dell'FBI ha originariamente sequestrato il Bitcoin in questione a metà aprile da un portafoglio collegato a un individuo noto come "Hors", che si presume sia un membro del gruppo ransomware Chaos.

Le autorità sostengono che i fondi sono collegati a schemi che hanno preso di mira le vittime nel distretto settentrionale del Texas e in altre regioni e costituiscono proprietà coinvolte o derivate da "attività illecite, tra cui riciclaggio di denaro ed estorsione" relative ad attacchi ransomware.

Secondo quanto riferito, le forze dell'ordine hanno avuto accesso al portafoglio utilizzando una frase di recupero associata a Electrum, una vecchia piattaforma di portafoglio Bitcoin. Tuttavia, il governo non ha rivelato come sia stata ottenuta la seed phrase.

Secondo i documenti del tribunale, gli agenti federali hanno trasferito con successo i fondi sequestrati a un indirizzo controllato dal governo.

Al momento del sequestro ad aprile, il Bitcoin valeva circa 1,7 milioni di dollari.  Quando la denuncia è stata presentata alla fine di luglio, il valore era aumentato a oltre 2,4 milioni di dollari.

Nuovo concorrente nel mercato del ransomware

Chaos è un'operazione ransomware-as-a-service identificata di recente che è attiva almeno da febbraio 2025.

Il gruppo è stato documentato per la prima volta dalla società di sicurezza informatica Cisco Talos, che ha avvertito delle sue capacità multipiattaforma che gli consentono di prendere di mira i sistemi che eseguono sistemi Windows, Linux, ESXi e NAS.

Come altri modelli RaaS, Chaos concede in licenza il suo malware agli affiliati in cambio di una quota dei pagamenti del riscatto.

Le vittime sono in genere costrette a pagare in criptovaluta per riottenere l'accesso ai file crittografati o per impedire il rilascio pubblico dei dati rubati.

Nonostante condivida il suo nome con un noto costruttore di ransomware, Chaos sembra essere un gruppo completamente separato.

I ricercatori ritengono che gli attori delle minacce dietro la campagna ransomware possano sfruttare intenzionalmente il nome per oscurare l'attribuzione e rendere più difficili gli sforzi di tracciamento.

Si ritiene che l'alias "Hors" rappresenti uno dei numerosi partecipanti attivi che utilizzano la piattaforma Chaos.

Un mese impegnativo per il Dipartimento di Giustizia

All'inizio di questo mese, il Dipartimento di Giustizia ha presentato un'azione civile di confisca simile per recuperare più di 7 milioni di dollari in criptovalute sequestrate dalla Homeland Security nell'ambito di un'indagine su una truffa di investimenti petroliferi e di gas da 97 milioni di dollari.

I fondi sarebbero stati riciclati attraverso portafogli collegati a sospetti in Russia e Nigeria e instradati attraverso exchange offshore.

Sempre a luglio, il DOJ ha rivelato di aver collaborato con Tether per recuperare 40.300$ in USDT legati a una truffa di phishing che si spacciava per il Trump-Vance Inaugural Committee.