FBI、新たなChaosランサムウェア作戦から240万ドル相当のビットコインを押収

FBIダラス支局は、テキサス州の企業に対するサイバー攻撃および恐喝支払いに関連するChaosランサムウェアのメンバーが所有する暗号通貨アドレスから、約20ビットコインを押収しました。

この暗号通貨は2025年4月15日に押収され、「Hors」と呼ばれる企業への攻撃を仕掛けたと疑われる関係者にたどり着きました。

「押収された資金は、Chaosランサムウェアグループのメンバーである『Hors』とされる人物に関連付けられた暗号通貨アドレスにたどり着きました。『Hors』はここ北テキサス地区および他の地域でのランサムウェア攻撃に関与しているとされています」とFBIの発表に記載されています。

「この措置の結果、2025年4月15日に暗号通貨アドレスbc1q5d8af0crjhlnepjq08muhh55899rf2ktye3sxdから20.2891382BTC（現在230万ドル以上相当）が押収されました。」

アメリカ司法省は、2025年7月24日にFBIが押収した金額（現在240万ドル以上相当）の没収を求める民事訴訟を提起したと発表しました。

民事没収は、政府が財産自体に対して直接訴訟を起こし、犯罪行為に関連していると考えられる資産の恒久的な所有権を取得しようとする手続きです。今回の場合はランサムウェアに関連しています。

Chaosランサムウェアの復活

押収された暗号通貨は、比較的新しいChaosランサムウェア作戦からのもので、これはBlackSuitランサムウェアグループのリブランドと考えられています。

この名称は2021年半ばからサイバー犯罪者によって使用されてきた低レベルのランサムウェアバリアントと同じですが、新しいChaosグループはこの古いバリアントとは関係がありません。

新しいChaosランサムウェア作戦は、悪名高いContiランサムウェアグループから派生しています。Contiはデータ漏洩を受け、2022年6月に閉鎖されました。その後、メンバーは他の多くのランサムウェアグループに分裂しました。

2023年1月には、Royal（Quantum）ランサムウェアグループが登場し、これはConti作戦の直接的な後継と考えられていました。

2023年6月、テキサス州ダラス市への攻撃で法執行機関からの圧力を感じたRoyalランサムウェア作戦は、新しいBlackSuitエンクリプターのテストを開始し、最終的にBlackSuitへとリブランドしました。

Cisco Talosの研究者は、暗号化方式、身代金要求メモの構造、攻撃に使われたツールセットの類似性から、新しいChaosランサムウェアはBlackSuitのリブランドであると考えています。

米国司法省とFBIは「Hors」がどのChaosグループに属していたか明確に区別していませんが、BleepingComputerはビットコインの押収が新しいChaos作戦に関連していることを確認しました。

BlackSuitランサムウェア作戦のダークウェブ恐喝サイトが先週法執行機関によって押収されたため、今回の暗号通貨ウォレットも捜査の一環として発見された可能性があります。