Выкуп был, а денег нет: хакеры проиграли битву за биткойны
ФБР обнулило счета хакеров после $15 млн выкупа от Caesars Entertainment.
ФБР удалось отследить и заморозить миллионы долларов в криптовалюте, которые Caesars Entertainment отправила хакерам в качестве выкупа за восстановление доступа к своим ИТ-системам.
Речь идёт о взломе, совершённом в августе 2023 года группировкой Scattered Spider — в то же время хакеры атаковали и MGM Resorts, однако руководство MGM отказалось платить, из-за чего работа казино была нарушена на более чем неделю.
Информация о действиях ФБР содержится в рассекреченном судебном документе, который подробно описывает попытку предотвратить полный вывод средств хакерами. Изначально преступники требовали $30 миллионов, но Caesars удалось снизить сумму выкупа до $15 миллионов. Деньги были переведены в двух транзакциях в Bitcoin. Спустя несколько месяцев ФБР зафиксировало попытку конвертации части выкупа в другие криптовалюты, что дало возможность вмешаться.
Сотрудники ФБР применили коммерческое средство для отслеживания криптовалютных транзакций и обнаружили перевод 402 BTC на сервис Avalanche Bridge 19 января 2024 года. Данная платформа позволяет менять одну криптовалюту на другую и нередко используется киберпреступниками для ухода от слежки — например, для обмена Bitcoin на Monero, отличающийся высокой анонимностью.
ФБР связалось с компанией Ava Labs, управляющей Avalanche Bridge, и попросило заморозить активы. Компания согласилась добровольно заблокировать 277,56 BTC, которые на тот момент оценивались примерно в $11,8 миллиона. Однако оставшиеся 125 BTC, эквивалентные более $5 миллионам, были переведены раньше и заморозке не подлежали.
В конце января владельцы криптовалюты переместили ещё около $690 тысяч на кошелёк, принадлежащий бирже Gate.io. Среди активов — примерно 519 845 USDT и 1135 XMR. Уже на следующий день ФБР обратилось к Gate.io с просьбой заморозить указанные средства. 4 февраля биржа подтвердила, что выполнила требование.
На текущий момент правительство США официально инициировало процесс гражданской конфискации средств. Хотя в самом документе компания Caesars не упоминается напрямую и фигурирует под названием «Жертва A», детали полностью совпадают с ранее подтверждённой хронологией нападения. Хакеры проникли в систему 18 августа 2023 года — именно эту дату компания называла как день инцидента. Ранее власти уже задержали одного из участников атаки на MGM и нескольких других, предположительно связанных с группой Scattered Spider .