Эксперты отследили биткойн-кошелек группировки DarkSide

18 мая 2021 года

Компания Crystal Blockchain, занимающаяся расследованиями в области блокчейна, заявила об обнаружении биткойн-адреса, использовавшегося кибервымогательской группировкой DarkSide для получения выкупа от компании Colonial Pipeline.

На прошлой неделе американском топливному гиганту Colonial Pipeline пришлось на шесть дней приостановить свои операции из-за кибератаки

	с использованием вымогательского ПО DarkSide. 8 мая компания заплатила вымогателям 75 биткойнов (порядка $5 млн) и вскоре после этого смогла начать восстанавливать работу.

Как ранее сообщила

	ИБ-компания Elliptic, ей тоже удалось идентифицировать адрес кошелька DarkSide, но она решила не публиковать его. Тем не менее, Crystal Blockchain не нашла причин скрывать его от общественности и сообщила адрес читателям издания CoinDesk – bc1q7eqww9dmm9p48hx5yz5gcvmncu65w43wfytpsf.

По словам директора по продуктам Crystal Blockchain Кирило Чихрадзе (Kyrylo Chykhradze), существует несколько фактов, свидетельствующих о том, что именно этот адрес использовался DarkSide для получения выкупа от своих жертв.

«Мы идентифицировали транзакции в блокчейне, зная день транзакции и отправленную сумму. Мы проанализировали каждый потенциальный кластер (адресов) и обнаружили в одном из них дополнительные доказательства: транзакцию на $4,4 млн или 78 BTC, отправленную химической дистрибьюторской компанией Brenntag», – сообщил Чихрадзе.

Brenntag, еще одна жертва DarkSide, заплатила

	выкуп 11 мая. Специалисты Elliptic также упомянули эту транзакцию в качестве дополнительного доказательства, указывающего на связанные с хакерами биткойн-адреса. Еще одно свидетельство, упомянутое как Elliptic, так и Crystal: последняя транзакция с участием этих адресов была проведена в четверг, 13 мая, – день, когда группировка DarkSide лишилась 
	доступа к своим серверам.

По данным Crystal Blockchain, кластер DarkSide включал 30 адресов, на которые с момента первой транзакции 4 марта было в общей сложности переведено 321,5 биткойна. Все эти средства в конечном итоге покинули кластер, причем самая большая сумма была отправлена на криптовалютную биржу Binance (более 53,3 биткойна или 16% от всех средств).

Вторым по величине получателем средств является подпольная торговая площадка Hydra, получившая с кошельков DarkSide более 14,6 биткойна (4,5% средств). Hydra является крупнейшим в мире рынком наркотиков, работающий в основном в России и Восточной Европе.

Среди других получателей средств DarkSide – малоизвестные биржи Ren, Zillion Bits, а также централизованная биржа Poloniex в США и Garantex в Эстонии. Меньшие суммы также были отправлены на другие известные крупные биржи и одноранговые криптографические площадки, включая Coinbase, Huobi, OKEx, Paxful и LocalBitcoins. Относительно небольшая сумма оказалась в защищенном кошельке Wasabi.

Последняя транзакция с участием вышеупомянутых кластеров

адресов произошла 13 мая, когда 107 биткойнов были отправлены на единственный
неизвестный адрес, который был активен только один день и получил только три
входящие транзакции. В настоящее время 107 биткойнов на сумму более $4,5 все
еще находятся в этом кошельке. Кто является его владельцем, неизвестно.