※本文是自動翻譯,關於準確內容請參考原文。
摘要:
- 2023年,凱撒娛樂公司遭受了Scattered Spider集團1,500萬美元的勒索軟體攻擊。
- Chainalysis的工具在幫助FBI追蹤和凍結分散在多個區塊鏈和協議上的數百萬美元贖金資金方面發揮了重要作用。
- 這一事件表明,透過區塊鏈的透明性和適當的技術與生態系統的配合,即使在攻擊發生數月後仍可追回贖金資產。
2023年凱撒娛樂公司遭受的勒索軟體攻擊成為國際焦點。這次攻擊的幕後駭客組織"Scattered Spider"使用了高度複雜的社會工程技術入侵凱撒的系統。8月18日入侵系統後,他們竊取了客戶機密資料,要求3,000萬美元贖金,最終收到了1,500萬美元的加密資產。
駭客似乎相信透過使用加密資產可以對當局隱藏這筆鉅額收益。然而,加密資產固有的透明性最終對他們不利。透過區塊鏈情報,調查人員能夠追蹤資金流向。
根據新公開的法庭檔案,聯邦調查局(FBI)使用Chainalysis追蹤了跨多個區塊鏈和協議的贖金流向,並在數百萬美元加密資產被兌現前將其凍結。
社會工程細節
根據最近公開的內華達州地方法院提交的檔案,美國已啟動與勒索軟體攻擊收益相關的加密資產民事沒收程式。法庭檔案中未明確提及凱撒公司的名稱,而是稱為"受害者A",但從時間線和細節可以確定其指的就是凱撒公司。檔案記載,2023年8月18日(凱撒公司報告被入侵的日期)遭駭客攻擊的拉斯維加斯企業最初收到3,000萬美元贖金要求,後透過談判降至1,500萬美元。
根據緬因州檢察長辦公室提交的檔案,Scattered Spider針對外包的IT支援供應商。8月18日,他們可能使用語音釣魚技術欺騙IT支援,繞過多重認證,到8月23日,攻擊者已經訪問了包含社會安全號碼和駕駛證資訊的賭場客戶忠誠度資料庫。
凱撒直到9月7日才發現入侵,這意味著攻擊者已在系統內潛伏近3周。9月14日,凱撒在向美國證券交易委員會(SEC)提交的檔案中公開了駭客攻擊並支付了贖金。MGM度假村也遭到同一集團攻擊,但拒絕支付贖金,並遭受了約1億美元的營業損失。
實時干預阻斷非法收益
在首次支付贖金5個月後的2024年1月,調查人員察覺到透過Avalanche Bridge流動的約402 BTC(當時約合1,180萬美元)可疑資金。
FBI立即聯絡Ava Labs,凍結了277.56 BTC。儘管已有125 BTC透過橋樑,但這次干預阻止了數百萬美元落入犯罪分子手中。
緊接著,約69萬美元的加密資產被轉移到Gate.io託管的另一個錢包。這些資產包括約519,845美元的穩定幣和大約1,135個Monero (XMR)。第二天,FBI要求Gate.io凍結資金。檔案顯示,Gate.io於2月4日確認遵守了這一要求。
這種實時情報和干預能力在加密資產調查中具有重要優勢。像Scattered Spider這樣的勒索軟體集團以初期快速響應而聞名,但區塊鏈分析使調查人員也能同樣迅速地追蹤收益,將犯罪分子認為的運營優勢轉變為不利因素。
在凱撒案例中觀察到的模式與整個勒索軟體生態系統中的趨勢非常相似。威脅行為者正從以前流行的混幣器(2024年大幅下降)轉向使用跨鏈橋隱藏資金來源。
區塊鏈分析:利用透明性
攻擊者試圖利用加密資產的匿名性和可訪問性,但區塊鏈的固有透明性和不可篡改性使調查有利進行。使用Chainalysis工具,FBI成功追蹤了透過錢包和區塊鏈網路的贖金流向。
案件相關檔案包含了使用Chainalysis Reactor視覺化資金流向的圖表。
大餅的身代金最初被發現轉賬到兩個特定錢包(勒索錢包1和2)。隨後,資金透過一系列錢包轉移。根據檔案,這些錢包由於之前沒有交易歷史,顯然是專門為洗錢而建立的。
大餅被整合到一個錢包中,然後轉移到Avalanche Bridge,並兌換成Avalanche區塊鏈上的包裝代幣。
這些代幣透過多個錢包在Avalanche和Stargate協議上進行清洗,以進一步模糊資金來源。當FBI介入時,資金正準備轉入Gate.io錢包。
調查工具"Reactor"幫助調查人員揭示洗錢模式,將加密資產地址與現實世界實體關聯,併為資產沒收建立必要證據。
勒索軟體趨勢的變化
對Caesars的攻擊並非孤立事件。Scattered Spider在同一時期作為有組織的敲詐活動的一部分,還攻擊了MGM Resorts。但此後,勒索軟體形勢發生了劇烈變化。
2024年,全球執法行動大幅干擾了主要勒索軟體的運作。LockBit被瓦解,BlackCat實施退出詐騙,新群體迅速湧現填補空白。這些混亂導致勒索軟體支付總額同比下降35%,從2023年的12.5億美元降至2024年約8.136億美元。值得注意的是,勒索軟體事件中受害者支付的比例降至不到一半,顯示出受害者抵抗和防禦措施的顯著增強。
Caesars事件意義重大。這清楚地展示了區塊鏈情報對現代網路犯罪執法的影響。每一次成功追蹤和沒收都完善了方法,建立了先例,確認區塊鏈技術的透明性不是在幫助犯罪者,而是在對抗犯罪者。
