美國司法部宣布已追回此前 Colonial Pipeline 支付給駭客組織 DarkSide 的部分加密貨幣贖金。此前美國最大的燃油管道 Colonial Pipeline 遭到 DarkSide 攻擊,DarkSide 索要價值 500 萬美元的比特幣贖金。Colonial Pipeline 於美國時間 5 月 8 日支付贖金 75 BTC。
(前情提要: 美國油管案引市場恐慌?FBI 如何追到「6,000萬比特幣贖金」、獲取私鑰的手法是?)
(事件背景: 美東油管癱瘓案》美國司法部「已追回6,000萬的比特幣」勒索贖金,共63.7BTC)
Peckshield「派盾」旗下的反洗錢反詐欺系統 CoinHolmes 顯示,Colonial Pipeline 支付贖金 75 BTC 後,這 75 BTC 被分別轉至開頭為 bc1qxu 和開頭為 bc1qu5 的兩個錢包地址,贖金佔比分別大約為 84% 和 16%。
筆者此前分析過 DarkSide 這個駭客組織已經形成完整的「勒索即服務(RaaS)」產業鏈,開發者向下游提供作案工具和方法,然後抽成獲利。從資金流轉圖可以看出,這一次被 FBI 凍結的是下游勒索的資金(開頭為 bc1qxu,63.7 BTC),開發者的資金自收到後就沒有動過(開頭為 bc1qu5,11.2 BTC)。
屬於下游勒索錢包的開頭為 bc1qxu 的 63.7 BTC 先是轉到了開頭為 3EYkxQ 的地址,隨後轉入開頭為 bc1qq2 的地址,再分兩筆分別轉入開頭為 bc1qpx 的目標地址(FBI 掌握私鑰的地址,63.7 BTC)和另一地址(5.9 BTC)。
本週一釋出的一份宣誓書顯示,追回此筆贖款源於聯邦調查局(FBI)掌握了轉帳過程中某一關鍵錢包的私鑰,但並未透露 FBI 是如何獲得該私鑰的。
PeckShield反洗錢專家表示:FBI 很可能追蹤到了勒索軟體在美國的伺服器代理,然後被查獲,私鑰可能存在伺服器上面。
延伸閱讀:美國油管案引市場恐慌?FBI 如何追到「6,000萬比特幣贖金」、獲取私鑰的手法是?
早前 DarkSide 的網站遭封鎖,他們隨後發文宣布解散,並將支付伺服器上的資金轉移到了一個未知的地址。
以我們以往幫助警方追蹤涉及洗錢的虛擬貨幣案例來看,一般情況下,通過追蹤和分析資金流向,分析交易模式和對方訊息,如果犯罪嫌疑人使用中心化交易機構洗錢,可通過定位中心化交易機構,並出具司法對證,封堵疑似涉案資金,鎖定涉案嫌疑人。
但是,在 Colonial Pipeline 的案例中,資產並未流入中心化交易機構,所以 FBI 應該不是通過這種方式查封這筆款項的。此外,目前還沒有跡象顯示有私鑰洩漏的可能,我們的判斷傾向於 FBI 從伺服器代理著手追回這筆贖金。PeckShield反洗錢專家解釋道。
相關報導
付駭客 1,100 萬鎂比特幣!最大肉商 JBS 花錢買心安,執行長:做了最正確的決定
美國司法部警戒! 歷經JBS、油管案「勒索軟體攻擊」調查升級,層級比照「恐怖主義」案件
台灣|全球筆電代工一哥「仁寶」疑中勒索病毒,贖金錢包今存入約 1500 萬台幣的比特幣
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
