※本文是自动翻译,关于准确内容请参考原文。
摘要:
- 2023年,凯撒娱乐公司遭受了Scattered Spider集团1,500万美元的勒索软件攻击。
- Chainalysis的工具在帮助FBI追踪和冻结分散在多个区块链和协议上的数百万美元赎金资金方面发挥了重要作用。
- 这一事件表明,通过区块链的透明性和适当的技术与生态系统的配合,即使在攻击发生数月后仍可追回赎金资产。
2023年凯撒娱乐公司遭受的勒索软件攻击成为国际焦点。这次攻击的幕后黑客组织"Scattered Spider"使用了高度复杂的社会工程技术入侵凯撒的系统。8月18日入侵系统后,他们窃取了客户机密数据,要求3,000万美元赎金,最终收到了1,500万美元的加密资产。
黑客似乎相信通过使用加密资产可以对当局隐藏这笔巨额收益。然而,加密资产固有的透明性最终对他们不利。通过区块链情报,调查人员能够追踪资金流向。
根据新公开的法庭文件,联邦调查局(FBI)使用Chainalysis追踪了跨多个区块链和协议的赎金流向,并在数百万美元加密资产被兑现前将其冻结。
社会工程细节
根据最近公开的内华达州地方法院提交的文件,美国已启动与勒索软件攻击收益相关的加密资产民事没收程序。法庭文件中未明确提及凯撒公司的名称,而是称为"受害者A",但从时间线和细节可以确定其指的就是凯撒公司。文件记载,2023年8月18日(凯撒公司报告被入侵的日期)遭黑客攻击的拉斯维加斯企业最初收到3,000万美元赎金要求,后通过谈判降至1,500万美元。
根据缅因州检察长办公室提交的文件,Scattered Spider针对外包的IT支持供应商。8月18日,他们可能使用语音钓鱼技术欺骗IT支持,绕过多重认证,到8月23日,攻击者已经访问了包含社会安全号码和驾驶证信息的赌场客户忠诚度数据库。
凯撒直到9月7日才发现入侵,这意味着攻击者已在系统内潜伏近3周。9月14日,凯撒在向美国证券交易委员会(SEC)提交的文件中公开了黑客攻击并支付了赎金。MGM度假村也遭到同一集团攻击,但拒绝支付赎金,并遭受了约1亿美元的营业损失。
实时干预阻断非法收益
在首次支付赎金5个月后的2024年1月,调查人员察觉到通过Avalanche Bridge流动的约402 BTC(当时约合1,180万美元)可疑资金。
FBI立即联系Ava Labs,冻结了277.56 BTC。尽管已有125 BTC通过桥梁,但这次干预阻止了数百万美元落入犯罪分子手中。
紧接着,约69万美元的加密资产被转移到Gate.io托管的另一个钱包。这些资产包括约519,845美元的稳定币和大约1,135个Monero (XMR)。第二天,FBI要求Gate.io冻结资金。文件显示,Gate.io于2月4日确认遵守了这一要求。
这种实时情报和干预能力在加密资产调查中具有重要优势。像Scattered Spider这样的勒索软件集团以初期快速响应而闻名,但区块链分析使调查人员也能同样迅速地追踪收益,将犯罪分子认为的运营优势转变为不利因素。
在凯撒案例中观察到的模式与整个勒索软件生态系统中的趋势非常相似。威胁行为者正从以前流行的混币器(2024年大幅下降)转向使用跨链桥隐藏资金来源。
区块链分析:利用透明性
攻击者试图利用加密资产的匿名性和可访问性,但区块链的固有透明性和不可篡改性使调查有利进行。使用Chainalysis工具,FBI成功追踪了通过钱包和区块链网络的赎金流向。
案件相关文件包含了使用Chainalysis Reactor可视化资金流向的图表。
大饼的身代金最初被发现转账到两个特定钱包(勒索钱包1和2)。随后,资金通过一系列钱包转移。根据文件,这些钱包由于之前没有交易历史,显然是专门为洗钱而创建的。
大饼被整合到一个钱包中,然后转移到Avalanche Bridge,并兑换成Avalanche区块链上的包装代币。
这些代币通过多个钱包在Avalanche和Stargate协议上进行清洗,以进一步模糊资金来源。当FBI介入时,资金正准备转入Gate.io钱包。
调查工具"Reactor"帮助调查人员揭示洗钱模式,将加密资产地址与现实世界实体关联,并为资产没收建立必要证据。
勒索软件趋势的变化
对Caesars的攻击并非孤立事件。Scattered Spider在同一时期作为有组织的敲诈活动的一部分,还攻击了MGM Resorts。但此后,勒索软件形势发生了剧烈变化。
2024年,全球执法行动大幅干扰了主要勒索软件的运作。LockBit被瓦解,BlackCat实施退出诈骗,新群体迅速涌现填补空白。这些混乱导致勒索软件支付总额同比下降35%,从2023年的12.5亿美元降至2024年约8.136亿美元。值得注意的是,勒索软件事件中受害者支付的比例降至不到一半,显示出受害者抵抗和防御措施的显著增强。
Caesars事件意义重大。这清楚地展示了区块链情报对现代网络犯罪执法的影响。每一次成功追踪和没收都完善了方法,建立了先例,确认区块链技术的透明性不是在帮助犯罪者,而是在对抗犯罪者。
