Số tiền điện tử này bị thu giữ vào ngày 15/4/2025 và được truy tìm đến một chi nhánh có tên "Hors", kẻ bị tình nghi đã phát động các cuộc tấn công nhắm vào các công ty.

Thông báo của FBI nêu rõ: "Số tiền bị thu giữ được truy tìm đến một địa chỉ tiền điện tử được cho là có liên quan đến một thành viên của nhóm mã độc tống tiền Chaos, được gọi là 'Hors', kẻ có liên quan đến các cuộc tấn công mã độc tống tiền nhắm vào nạn nhân tại bang Texas của Mỹ và các nơi khác".

"Kết quả của các hành động tống tiền là hơn 20 Bitcoin (hiện trị giá hơn 2,3 triệu đô la) đã bị tịch thu từ địa chỉ tiền điện tử bc1q5d8af0crjhlnepjq08muhh55899rf2ktye3sxd vào ngày 15/4/2025."

Bộ Tư pháp Hoa Kỳ đã ra thông báo cho biết, vào ngày 24/7/2025, họ đã đệ đơn khiếu nại dân sự yêu cầu tịch thu số tiền mà FBI đã thu giữ được, hiện trị giá hơn 2.400.000 đô la.

Việc khiếu nại trực tiếp đối với tài sản nhằm mục đích chiếm quyền sở hữu vĩnh viễn các tài sản được cho là có liên quan đến hoạt động tội phạm, trong trường hợp này là mã độc tống tiền (ransomware).

Sự hồi sinh của ransomware Chaos

Số tiền điện tử này đã bị tịch thu từ hoạt động ransomware Chaos tương đối mới, được cho là một phiên bản đổi tên của nhóm ransomware BlackSuit.

Mặc dù tên gọi này giống với một biến thể ransomware cấp thấp đã bị tội phạm mạng sử dụng từ giữa năm 2021, nhưng băng đảng Chaos mới không hề liên quan đến biến thể cũ này.

Chiến dịch ransomware Chaos mới bắt nguồn từ băng đảng ransomware Conti khét tiếng, vốn đã tấn công và buộc phải đóng cửa vào tháng 6/2022. Các thành viên của băng đảng này sau đó đã tách ra thành nhiều băng đảng ransomware khác.

Vào tháng 01/2023, băng đảng ransomware Royal (Quantum) được thành lập, được cho là kế thừa trực tiếp của chiến dịch Conti khét tiếng.

Vào tháng 6/2023, sau khi chịu áp lực từ cơ quan thực thi pháp luật về vụ tấn công vào Thành phố Dallas, Texas, chiến dịch ransomware Royal bắt đầu thử nghiệm bộ mã hóa BlackSuit mới, cuối cùng đổi tên thành BlackSuit.

Các nhà nghiên cứu của Cisco Talos tin rằng, ransomware Chaos mới là phiên bản đổi tên của BlackSuit dựa trên những điểm tương đồng về mã hóa, cấu trúc ghi chú đòi tiền chuộc và bộ công cụ được sử dụng trong các cuộc tấn công.

Mặc dù Bộ Tư pháp Hoa Kỳ và Cục Điều tra Liên bang (FBI) chưa phân biệt rõ ràng "Hors" thuộc nhóm Chaos nào, nhưng các chuyên gia nghiên cứu của BleepingComputer đã xác nhận rằng, vụ tịch thu Bitcoin này có liên quan đến hoạt động mới của Chaos.

Vì hoạt động tống tiền BlackSuit đã bị cơ quan thực thi pháp luật tịch thu các trang web đen tống tiền vào tuần trước, nên có khả năng cuộc điều tra đã phát hiện ra ví tiền điện tử này là một phần hoạt động của mã độc tống tiền này.

Hà Linh