DOJ jagar 2,3 miljoner dollar i Bitcoin som återvunnits från en misstänkt "Chaos"-ransomware-operatör

Federala åklagare har inlett en förverkandetalan för att göra anspråk på 2,3 miljoner dollar i Bitcoin som påstås vara knuten till en ransomware-aktör från den nyligen identifierade Chaos-gruppen.

Enligt ett pressmeddelande från den 28 juli från US Attorney's Office for the Northern District of Texas lämnade justitiedepartementet in ett civilrättsligt klagomål där man begärde förverkande av cirka 20,3 Bitcoin.

FBI:s Dallas-avdelning beslagtog ursprungligen Bitcoin i fråga i mitten av april från en plånbok kopplad till en person som kallas "Hors", som påstås vara medlem i ransomware-gruppen Chaos.

Myndigheterna hävdar att medlen är kopplade till system som riktade sig mot offer i Northern District of Texas och andra regioner, och utgör egendom som är involverad i eller härrör från "olaglig verksamhet, inklusive penningtvätt och utpressning" relaterad till ransomware-attacker.

Brottsbekämpande myndigheter ska ha fått tillgång till plånboken med hjälp av en återställningsfras som är associerad med Electrum, en äldre Bitcoin-plånboksplattform. Regeringen har dock inte avslöjat hur fröfrasen erhölls.

Enligt domstolsdokument lyckades federala agenter överföra de beslagtagna medlen till en regeringskontrollerad adress.

Vid tidpunkten för beslaget i april var Bitcoin värd cirka 1,7 miljoner dollar.  När klagomålet lämnades in i slutet av juli hade värdet ökat till över 2,4 miljoner dollar.

Ny aktör på marknaden för ransomware

Chaos är en nyligen identifierad ransomware-as-a-service-operation som har varit aktiv sedan åtminstone februari 2025.

Gruppen dokumenterades först av cybersäkerhetsföretaget Cisco Talos, som har varnat för dess plattformsoberoende funktioner som gör att den kan rikta in sig på system som kör Windows-, Linux-, ESXi- och NAS-system.

Liksom andra RaaS-modeller licensierar Chaos sin skadliga programvara till affiliates i utbyte mot en del av lösensumman.

Offren pressas vanligtvis att betala i kryptovaluta för att återfå tillgång till krypterade filer eller för att förhindra att stulna data släpps offentligt.

Trots att Chaos delar sitt namn med en välkänd ransomware-byggare verkar Chaos vara en helt separat grupp.

Forskare tror att hotaktörerna bakom ransomware-kampanjen avsiktligt kan utnyttja namnet för att dölja tillskrivning och göra spårningsinsatser svårare.

Aliaset "Hors" tros representera en av flera aktiva deltagare som använder Chaos-plattformen.

En hektisk månad för DOJ

Tidigare denna månad lämnade DOJ in en liknande civilrättslig förverkandetalan för att återvinna mer än 7 miljoner dollar i kryptovaluta som beslagtagits av Homeland Security som en del av en utredning av en bedrägeri med olje- och gasinvesteringar på 97 miljoner dollar.

Pengarna påstås ha tvättats genom plånböcker kopplade till misstänkta i Ryssland och Nigeria och dirigerats genom offshore-börser.

I juli avslöjade DOJ också att de hade samarbetat med Tether för att återvinna 40 300 dollar i USDT kopplat till en phishing-bedrägeri som utgav sig för att vara Trump-Vance Inaugural Committee.