DOJ busca US$ 2,3 milhões em Bitcoin recuperados de um suposto operador de ransomware 'Chaos'

Os promotores federais lançaram uma ação de confisco para reivindicar US$ 2,3 milhões em Bitcoin supostamente vinculados a um ator de ransomware do recém-identificado grupo Chaos.

De acordo com um comunicado de imprensa de 28 de julho do Gabinete do Procurador dos EUA para o Distrito Norte do Texas, o Departamento de Justiça entrou com uma ação civil buscando o confisco de aproximadamente 20,3 Bitcoins.

A Divisão de Dallas do FBI originalmente apreendeu o Bitcoin em questão em meados de abril de uma carteira vinculada a um indivíduo conhecido como "Hors", que é acusado de ser membro do grupo de ransomware Chaos.

As autoridades afirmam que os fundos estão conectados a esquemas que visam vítimas no Distrito Norte do Texas e em outras regiões, e constituem propriedade envolvida ou derivada de "atividades ilegais, incluindo lavagem de dinheiro e extorsão" relacionadas a ataques de ransomware.

A polícia teria acessado a carteira usando uma frase inicial de recuperação associada à Electrum, uma plataforma de carteira Bitcoin mais antiga. No entanto, o governo não divulgou como a frase inicial foi obtida.

De acordo com documentos judiciais, os agentes federais transferiram com sucesso os fundos apreendidos para um endereço controlado pelo governo.

No momento da apreensão em abril, o Bitcoin valia aproximadamente US$ 1,7 milhão.  Quando a queixa foi apresentada no final de julho, o valor havia aumentado para mais de US $ 2,4 milhões.

Novo participante no mercado de ransomware

Chaos é uma operação de ransomware como serviço recém-identificada que está ativa desde pelo menos fevereiro de 2025.

O grupo foi documentado pela primeira vez pela empresa de segurança cibernética Cisco Talos, que alertou sobre seus recursos de plataforma cruzada que permitem atingir sistemas que executam sistemas Windows, Linux, ESXi e NAS.

Como outros modelos RaaS, o Chaos licencia seu malware para afiliados em troca de uma parte dos pagamentos de resgate.

As vítimas geralmente são pressionadas a pagar em criptomoeda para recuperar o acesso a arquivos criptografados ou para impedir a divulgação pública de dados roubados.

Apesar de compartilhar seu nome com um conhecido construtor de ransomware, o Chaos parece ser um grupo totalmente separado.

Os pesquisadores acreditam que os agentes de ameaças por trás da campanha de ransomware podem estar aproveitando intencionalmente o nome para obscurecer a atribuição e dificultar os esforços de rastreamento.

Acredita-se que o pseudônimo "Hors" represente um dos vários participantes ativos que usam a plataforma Chaos.

Um mês agitado para o DOJ

No início deste mês, o DOJ entrou com uma ação de confisco civil semelhante para recuperar mais de US$ 7 milhões em criptomoedas apreendidas pela Segurança Interna como parte de uma investigação sobre um golpe de investimento em petróleo e gás de US$ 97 milhões.

Os fundos foram supostamente lavados por meio de carteiras vinculadas a suspeitos na Rússia e na Nigéria e encaminhados por meio de exchanges offshore.

Também em julho, o DOJ divulgou que havia colaborado com a Tether para recuperar US$ 40.300 em USDT vinculados a um golpe de phishing que se passava pelo Comitê Inaugural Trump-Vance.