* Bài viết này đã được dịch tự động. Vui lòng tham khảo bài viết gốc để biết thông tin chính xác.
bản tóm tắt:
- Năm 2023, Caesars Entertainment bị nhóm Scattered Spider tấn công bằng phần mềm tống tiền gây thiệt hại 15 triệu đô la.
- Các công cụ của Chainalysis đóng vai trò chính trong việc giúp FBI theo dõi và đóng băng hàng triệu đô la tiền chuộc được phân bổ trên nhiều chuỗi khối và giao thức.
- Sự cố này cho thấy với tính minh bạch của blockchain và sự hợp tác đúng đắn giữa công nghệ và hệ sinh thái, khoản tiền chuộc có thể được chuyển thành tài sản có thể thu hồi được ngay cả nhiều tháng sau cuộc tấn công.
Cuộc tấn công ransomware vào Caesars Entertainment năm 2023 đã trở thành chủ đề quốc tế . Nhóm ransomware đứng sau vụ tấn công, Scattered Spider, đã sử dụng các kỹ thuật kỹ thuật xã hội tiên tiến để xâm nhập vào hệ thống của Caesars. Sau khi xâm nhập vào hệ thống vào ngày 18 tháng 8, chúng đã đánh cắp dữ liệu khách hàng nhạy cảm, yêu cầu khoản tiền chuộc 30 triệu đô la và cuối cùng nhận được 15 triệu đô la tiền điện tử.
Những tin tặc có thể tin rằng việc sử dụng tiền điện tử sẽ giúp chúng che giấu khoản lợi nhuận khổng lồ khỏi chính quyền, nhưng tính minh bạch vốn có của tiền điện tử cuối cùng lại chống lại chúng, vì trí thông minh blockchain cho phép các nhà điều tra theo dõi dấu vết dòng tiền.
Theo các tài liệu tòa án mới công bố, Cục Điều tra Liên bang (FBI) đã sử dụng Chainalysis để theo dõi dấu vết thanh toán tiền chuộc trên nhiều chuỗi khối và giao thức, đóng băng hàng triệu đô la tài sản tiền điện tử trước khi chúng có thể được rút ra.
Nội dung kỹ thuật xã hội
Các hồ sơ của Tòa án Quận Nevada mới được công bố gần đây tiết lộ rằng Hoa Kỳ đã khởi xướng các thủ tục tịch thu dân sự đối với các tài sản tiền điện tử liên quan đến số tiền thu được từ một cuộc tấn công ransomware. Các tài liệu của tòa án không nêu rõ tên Caesars, thay vào đó gọi là "Nạn nhân A", nhưng mốc thời gian và chi tiết không để lại nghi ngờ gì rằng đó là Caesars. Các tài liệu nêu rõ rằng công ty Las Vegas, bị tấn công vào ngày 18 tháng 8 năm 2023 (ngày Caesars báo cáo về vụ vi phạm), ban đầu đã nhận được yêu cầu tiền chuộc là 30 triệu đô la, sau đó đã thương lượng xuống còn 15 triệu đô la.
Theo hồ sơ nộp lên Văn phòng Tổng chưởng lý Maine, Scattered Spider đã nhắm vào một nhà cung cấp dịch vụ hỗ trợ CNTT thuê ngoài. Vào ngày 18 tháng 8, chúng có thể đã sử dụng các kỹ thuật lừa đảo bằng giọng nói để đánh lừa bộ phận hỗ trợ CNTT và bỏ qua xác thực đa yếu tố, và đến ngày 23 tháng 8, những kẻ tấn công đã truy cập vào cơ sở dữ liệu khách hàng trung thành của sòng bạc, bao gồm số An sinh xã hội và thông tin giấy phép lái xe.
Caesars chỉ phát hiện ra vụ xâm nhập vào ngày 7 tháng 9, nghĩa là những kẻ tấn công đã ở trong hệ thống của họ gần ba tuần. Vào ngày 14 tháng 9, Caesars đã tiết lộ vụ tấn công trong hồ sơ nộp lên Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) và trả tiền chuộc. MGM Resorts cũng bị cùng một nhóm tấn công, nhưng từ chối trả tiền chuộc, dẫn đến tổn thất hoạt động khoảng 100 triệu đô la.
Can thiệp kịp thời để cắt giảm doanh thu bất hợp pháp
Vào tháng 1 năm 2024, năm tháng sau khoản tiền chuộc đầu tiên, các nhà điều tra phát hiện ra hoạt động chuyển tiền đáng ngờ khoảng 402 BTC (trị giá khoảng 11,8 triệu đô la vào thời điểm đó) thông qua Avalanche Bridge.
FBI đã ngay lập tức liên lạc với Ava Labs và 277,56 BTC đã bị đóng băng. Mặc dù 125 BTC đã vượt qua cầu trước khi chính quyền phản ứng, sự can thiệp của họ đã ngăn chặn hàng triệu đô la rơi vào tay bọn tội phạm.
Ngay sau đó, khoảng 690.000 đô la tài sản tiền điện tử đã được chuyển đến một ví khác do Gate.io lưu trữ. Các tài sản bao gồm khoảng 519.845 đô la tiền ổn định và khoảng 1.135 Monero (XMR). Ngày hôm sau, FBI đã gửi yêu cầu đến Gate.io để đóng băng các khoản tiền. Theo các tài liệu, Gate.io đã xác nhận rằng họ đã tuân thủ yêu cầu vào ngày 4 tháng 2.
Loại thông tin tình báo thời gian thực và khả năng can thiệp này là một lợi thế quan trọng trong các cuộc điều tra tiền điện tử . Các nhóm ransomware như Scattered Spider nổi tiếng với phản ứng nhanh chóng trong giai đoạn đầu của một cuộc tấn công, nhưng phân tích blockchain cho phép các nhà điều tra theo dõi dấu vết doanh thu nhanh chóng, biến những gì bọn tội phạm nghĩ là lợi thế hoạt động thành một khoản nợ.
Các mô hình được quan sát thấy trong trường hợp Caesars phản ánh các xu hướng được thấy trên toàn bộ hệ sinh thái ransomware, khi các tác nhân đe dọa chuyển từ các kỹ thuật rửa tiền phổ biến trước đây như máy trộn (giảm đáng kể vào năm 2024) sang sử dụng các cầu nối chuỗi chéo để che giấu nguồn tiền của chúng .
Phân tích chuỗi khối: Tận dụng tính minh bạch
Trong khi những kẻ tấn công tìm cách khai thác tính ẩn danh và khả năng truy cập của tiền điện tử, tính minh bạch và bất biến vốn có của blockchain đã mang lại cho các nhà điều tra một lợi thế: bằng cách sử dụng các công cụ Chainalysis , FBI có thể theo dõi dòng tiền chuộc thông qua ví và mạng blockchain.
Tài liệu về sự cố bao gồm biểu đồ Chainalysis Reactor trực quan hóa dòng tiền.
Chúng ta có thể thấy rằng tiền chuộc BTC ban đầu được gửi đến hai ví duy nhất: Ví tống tiền 1 và 2. Sau đó, số tiền này được chuyển qua một loạt ví mà theo tài liệu thì không có lịch sử giao dịch trước đó, điều này cho thấy chúng được tạo ra chỉ nhằm mục đích rửa tiền .
BTC được hợp nhất thành một ví duy nhất, chuyển đến Avalanche Bridge và được trao đổi thành các token được gói gọn trên blockchain Avalanche.
Những mã thông báo này đã được rửa thông qua các giao thức Avalanche và Stargate thông qua nhiều ví để che giấu thêm nguồn gốc của số tiền và khi FBI vào cuộc, số tiền vừa mới được chuyển vào ví Gate.io.
Công cụ điều tra Reactor đã giúp các nhà điều tra phát hiện ra các mô hình rửa tiền, liên kết các địa chỉ tiền điện tử với các thực thể trong thế giới thực và xây dựng bằng chứng cần thiết để tịch thu tài sản.
Xu hướng thay đổi của ransomware
Cuộc tấn công Caesars không phải là một sự cố đơn lẻ -- Scattered Spider cũng nhắm vào MGM Resorts vào cùng thời điểm như một phần của chiến dịch tống tiền được phối hợp -- nhưng bối cảnh ransomware đã thay đổi đáng kể kể từ đó.
Vào năm 2024, các cuộc trấn áp của cơ quan thực thi pháp luật toàn cầu đã làm gián đoạn đáng kể các hoạt động ransomware lớn . LockBit đã bị phá hủy, BlackCat tham gia vào một vụ lừa đảo thoát hiểm và các nhóm mới xuất hiện để lấp đầy khoảng trống. Những sự gián đoạn này đã dẫn đến mức giảm 35% theo năm trong tổng số các khoản thanh toán ransomware, từ 1,25 tỷ đô la vào năm 2023 xuống còn khoảng 813,6 triệu đô la vào năm 2024. Đáng chú ý, ít hơn một nửa các sự cố ransomware liên quan đến nạn nhân thực hiện thanh toán, làm nổi bật sự phản kháng ngày càng tăng của nạn nhân và tăng cường các biện pháp đối phó.
Vụ án Caesars không chỉ đơn thuần là thu hồi tiền. Đây là ví dụ sinh động về cách trí thông minh blockchain tác động đến hoạt động kiểm soát tội phạm mạng hiện đại. Mỗi lần theo dõi và bắt giữ thành công đều tinh chỉnh các phương pháp, tạo tiền lệ và đảm bảo tính minh bạch của công nghệ blockchain có tác dụng chống lại tội phạm chứ không phải hỗ trợ chúng.
Chainalysis hỗ trợ việc tịch thu quỹ
Cho đến nay, Chainalysis đã giúp các đối tác bao gồm các sàn giao dịch, cơ quan thực thi pháp luật, các tập đoàn và các cơ quan chính phủ trên toàn thế giới tịch thu và đóng băng hơn 12,6 tỷ đô la tài sản tiền điện tử. Việc thu hồi thành công mang lại sự tự tin trong việc chống lại tội phạm tài chính và thu hồi tiền của nạn nhân trong một thế giới mà tiền điện tử đang ngày càng phát triển và được áp dụng rộng rãi. Trường hợp này cho thấy tính minh bạch của blockchain, được hỗ trợ bởi các công cụ và quan hệ đối tác phù hợp, có thể dẫn đến khả năng thu hồi cao, ngay cả sau khi tiền chuộc được trả. Theo nhiều cách, đây là một bước ngoặt. Việc trả tiền chuộc không còn đảm bảo rằng các tác nhân đe dọa sẽ không bị trừng phạt. Khả năng can thiệp sau khi thanh toán và thu hồi tiền trước khi chúng được rút ra khiến trí thông minh blockchain trở thành một công cụ thay đổi cuộc chơi mạnh mẽ trong phản ứng với phần mềm tống tiền.
Trang web này chứa các liên kết đến các trang web của bên thứ ba không nằm trong quyền kiểm soát của Chainalysis, Inc. hoặc các chi nhánh của công ty (gọi chung là “Chainalysis”). Việc truy cập vào thông tin đó không ngụ ý sự liên kết, xác nhận, chấp thuận hoặc khuyến nghị của Chainalysis đối với trang web hoặc các nhà điều hành của trang web đó và Chainalysis không chịu trách nhiệm về các sản phẩm, dịch vụ hoặc nội dung khác được lưu trữ trong đó.
Tài liệu này chỉ nhằm mục đích cung cấp thông tin và không nhằm mục đích cung cấp tư vấn pháp lý, thuế, tài chính hoặc đầu tư. Người nhận nên tham khảo ý kiến cố vấn của riêng mình trước khi đưa ra những quyết định như vậy. Chainalysis không chịu trách nhiệm hoặc nghĩa vụ pháp lý đối với bất kỳ quyết định nào được đưa ra hoặc bất kỳ hành vi hoặc thiếu sót nào khác liên quan đến việc Người nhận sử dụng tài liệu này.
Chainalysis không đảm bảo hoặc bảo hành tính chính xác, đầy đủ, kịp thời, phù hợp hoặc hợp lệ của thông tin trong báo cáo này và sẽ không chịu trách nhiệm cho bất kỳ khiếu nại nào do lỗi, thiếu sót hoặc sự không chính xác khác của bất kỳ phần nào trong tài liệu đó.
Bài đăng Chainalysis giúp FBI thu hồi tiền chuộc của Caesars Entertainment xuất hiện đầu tiên trên Chainalysis .
