Как криптаны ограбили казино или история провала вымогателей

Мошенничество и вымогательство в криптосфере распространено настолько, что их жертвами становятся представители всех поколений и возрастов. Но есть и уникальные случаи. GetBlock AML Research эксклюзивно раскрывает детали ограбления казино с использованием криптовалют.

Жертва

На этот раз в прицеле вымогателей оказались не пенсионеры, а одна из крупнейших в мире компаний, которая занимается недвижимостью и игровым бизнесом — Caesars Entertainment. Ей принадлежат самые крупные и известные казино в США, такие как: Caesars Palace, Flamingo, Eldorado и другие.

Отель и казино Caesars Palace в Лас-Вегасе. Источник: caesars.com

Как произошла атака

Инцидент произошел 18 августа 2023 года. В этот день группировка вымогателей Scattered Spider провела атакую с использованием социальной инженерии на компанию, которая предоставляла аутсорсинговые услуги Caesars Entertainment для организации службы пользовательской поддержки.

Уже 23 августа злоумышленники получили доступ к базе данных системы лояльности всех клиентов Caesars Entertainment, в которой помимо личных данных хранились номера социального страхования.

Сотрудники Caesars Entertainment обнаружили следы взлома только 7 сентября. А 14 сентября компания публично признала факт взлома и отчиталась перед SEC о передаче вымогателям средств в размере $15 млн. Хотя изначально злоумышленники предъявили требования в размере $30 млн.

В тот же период еще один оператор казино — MGM Resort подвергся атаке со стороны Scattered Spider. Компания отказалась платить выкуп и понесла более $100 млн убытков в результате масштабных программных сбоев, которые нарушили работу организации.

Как отслеживали вымогателей

Средства, полученные от Caesars Entertainment в качестве выкупа, впервые были идентифицированы в январе 2024 года. Тогда был зафиксирован подозрительный перевод 402 BTC через мост Avalanche Bridge. Федеральное бюро расследований США направило Ava Labs требование заморозить активы. В результате кооперации было заморожено 277,56 BTC, еще 125 BTC вымогатели успели провести через протокол и успешно вывести на другие платформы.

Вскоре после этого был обнаружен еще один подозрительный перевод в размере $690 тыс. Криптовалюта была отправлена на один из кошельков, принадлежащих бирже Gate. Платформа выполнила предписание властей США и заблокировала $519 845 в стейблкоинах и 1135 Monero (XMR).

Ончейн-след

Полученную от Caesars Entertainment криптовалюту изначально перевели на два адреса, предназначенные для дробления активов.

Схема перемещения похищенной у Caesars Entertainment криптовалюты. Данные: Chainalysis

Затем были созданы еще два новых адреса, используемых для запутывания цепочки транзакций.

Схема перемещения похищенной у Caesars Entertainment криптовалюты. Данные: Chainalysis

После вторичного перемещения средства были направлены на мост Avalanche Bridge, где их часть была заблокирована командой Ava Labs. Оставшаяся у вымогателей криптовалюта была направлена на протокол Stargate, после чего переведена на биржу Gate, где активы также были заблокированы.