DOJ streeft naar $ 2,3 miljoen aan Bitcoin die is teruggevorderd van een vermoedelijke 'Chaos' ransomware-operator

Federale aanklagers hebben een verbeurdverklaring ingesteld om $2,3 miljoen in Bitcoin te claimen die naar verluidt verband houdt met een ransomware-actor van de nieuw geïdentificeerde Chaos-groep.

Volgens een persbericht van 28 juli van het US Attorney's Office voor het noordelijke district van Texas, heeft het ministerie van Justitie een civiele klacht ingediend om de verbeurdverklaring van ongeveer 20,3 Bitcoin te eisen.

De Dallas Division van de FBI nam de Bitcoin in kwestie oorspronkelijk half april in beslag uit een portemonnee die was gekoppeld aan een persoon die bekend staat als "Hors", die naar verluidt lid is van de Chaos-ransomwaregroep.

De autoriteiten beweren dat de fondsen verband houden met regelingen die gericht waren op slachtoffers in het noordelijke district van Texas en andere regio's, en eigendom vormen dat betrokken is bij of is afgeleid van "onwettige activiteiten, waaronder het witwassen van geld en afpersing" in verband met ransomware-aanvallen.

Wetshandhavers hebben naar verluidt toegang gekregen tot de portemonnee met behulp van een herstelseed phrase die is gekoppeld aan Electrum, een ouder Bitcoin-portemonneeplatform. De regering heeft echter niet bekendgemaakt hoe de seed phrase is verkregen.

Volgens gerechtelijke documenten hebben federale agenten het in beslag genomen geld met succes overgemaakt naar een door de overheid gecontroleerd adres.

Op het moment van de inbeslagname in april was de Bitcoin ongeveer $ 1,7 miljoen waard.  Tegen de tijd dat de klacht eind juli werd ingediend, was de waarde gestegen tot meer dan $ 2.4 miljoen.

Nieuwkomer op de ransomwaremarkt

Chaos is een nieuw geïdentificeerde ransomware-as-a-service-operatie die actief is sinds ten minste februari 2025.

De groep werd voor het eerst gedocumenteerd door cyberbeveiligingsbedrijf Cisco Talos, dat heeft gewaarschuwd voor zijn platformonafhankelijke mogelijkheden waarmee het zich kan richten op systemen met Windows-, Linux-, ESXi- en NAS-systemen.

Net als andere RaaS-modellen geeft Chaos zijn malware in licentie aan gelieerde ondernemingen in ruil voor een deel van het losgeld.

Slachtoffers worden doorgaans onder druk gezet om in cryptocurrency te betalen om weer toegang te krijgen tot versleutelde bestanden of om te voorkomen dat gestolen gegevens openbaar worden gemaakt.

Ondanks dat het zijn naam deelt met een bekende ransomware-bouwer, lijkt Chaos een geheel aparte groep te zijn.

Onderzoekers zijn van mening dat de bedreigingsactoren achter de ransomware-campagne opzettelijk gebruik maken van de naam om attributie te verdoezelen en het volgen van inspanningen te bemoeilijken.

De alias "Hors" wordt verondersteld een van de vele actieve deelnemers te vertegenwoordigen die het Chaos-platform gebruiken.

Een drukke maand voor de DOJ

Eerder deze maand diende het DOJ een soortgelijke civiele verbeurdverklaring in om meer dan $ 7 miljoen aan cryptocurrency terug te vorderen die door Homeland Security in beslag was genomen als onderdeel van een onderzoek naar een zwendel met olie- en gasinvesteringen van $ 97 miljoen.

Het geld zou zijn witgewassen via portefeuilles die zijn gekoppeld aan verdachten in Rusland en Nigeria en via offshore-uitwisselingen.

Ook in juli maakte het DOJ bekend dat het had samengewerkt met Tether om $ 40.300 aan USDT terug te krijgen in verband met een phishing-zwendel die zich voordeed als het Trump-Vance Inaugural Committee.