A empresa de investigação Crystal Blockchain afirma que localizou o endereço bitcoin que os hackers do DarkSide usaram para receber o resgate do Colonial Pipeline. A informação é do CoinDesk.
Ao contrário do que se especula mutas vezes, cada transação com criptomeda deixa algum tipod e rastro. Isso dá uma rara visibilidade às movimentações de dinheiro digital no submundo do crime cibernético. Ou seja, não existe crime perfeito, embora seja muito difícil chegar até indivíduos, as autoridades podem acompanhar os movimentos financeiros.
Na semana passada, a empresa de transporte de combustível Colonial Pipeline suspendeu as operações por seis dias, provocando uma crise de escassez de gasolina no sudeste dos Estados Unidos, depois que hackers, supostamente sediados na Rússia, fizeram um ataque que criptografou os dados da empresa.
Em 8 de maio, a Colonial Pipeline concordou em pagar 75 BTC (ou cerca de US $ 5 milhões) ao DarkSeid e logo depois retomou suas operações normalmente.
A empresa de análise Elliptic disse no seu blog na semana passada que identificou os endereços das carteiras do DarkSide, mas não divulgou os endereços. De acordo com Crystal Blockchain, uma subsidiária da Bitfury, um provedor de segurança e infraestrutura para o blockchain Bitcoin, o endereço que recebeu o resgate é bc1q7eqww9dmm9p48hx5yz5gcvmncu65w43wfytpsf.
Ligando os pontos
Vários fatos sugerem que este endereço foi o responsável pela coleta do resgate, disse Kyryllo Chykhradze, diretor de produto da Crystal Blockchain. “Encontramos as transações no blockchain, com o dia da transação e o valor enviado”, disse Chykhradze. “Analisamos cada agrupamento potencial (de endereços) e encontramos evidências adicionais em um deles: uma transação de US $ 4,4 milhões ou 78 BTC enviados pela Brenntag,” uma empresa de distribuição de produtos químicos.
A Brenntag, outra vítima de ataque do DarkSide, pagou resgate em 11 de maio. A Elliptic também mencionou essa transação como evidência adicional, indicando os endereços bitcoin associados aos hackers. Outra evidência apontada tanto pela Elliptic quanto a Crystal: o agrupamento de endereços associados a hackers enviou sua última transação na última quinta-feira – quando o DarkSide supostamente teve seus servidores apreendidos por autoridades.
As carteiras Bitcoin são constituídas por clusters de endereços, cujas chaves são geridas por um software específico. As empresas de análise do Blockchain combinam endereços separados no blockchain em clusters e os associam a certas entidades, usando regras específicas. O dado mais importante é o armazenamento em cluster de entradas de transações que são pagas ao mesmo tempo.
De acordo com os dados da ferramenta analítica blockchain do Crystal, o cluster do DarkSide incluía 30 endereços, que juntos receberam 321,5 BTC, desde a primeira transação em 4 de março. Todos esses fundos acabaram saindo do cluster, com a maior quantia enviada para a criptografia Binance (mais 53,3 BTC, ou 16% de todos os fundos). O segundo maior receptor de fundos foi o mercado de darknet Hydra, que recebeu mais de 14,6 BTC das carteiras DarkSide, ou 4,5% de seus fundos.
A Hydra é o maior mercado de narcóticos ilegais do mundo, operando principalmente na Rússia e na Europa Oriental, de acordo com Chainalysis. O site também fornece outros produtos ilegais, incluindo documentos de identidade falsos, notas falsas, bem como dinheiro físico em troca de bitcoin. Outros destinatários dos fundos DarkSide incluem bolsas pouco conhecidas como Ren, Zillion Bits, além da bolsa centralizada dos EUA Poloniex e Garantex, da Estônia.
Quantias menores também foram enviadas para outras bolsas importantes e mercados de criptografia ponto a ponto bem conhecidos, incluindo Coinbase, Huobi, OKEx, Paxful e LocalBitcoins. Uma quantidade relativamente pequena, menos da metade de um BTC, acabou na carteira do Wasabi voltada para a privacidade.
A última transação enviada pelo cluster ocorreu em 13 de maio, quando 107 BTC foram enviados para um endereço único desconhecido, que estava ativo há apenas um dia e recebeu três transações de entrada. Os 107 BTCs, avaliados em mais de US$ 4,5 milhões pela coração dessa segunda-feira, permanecem nesse endereço. Contudo, não está claro quem controla o endereço.