Расследование схемы движения криптовалюты хакеров, взломавших сайт Минстроя России

[medvedev1974]

По сообщениям информационных агентств неизвестные хакеры ночью 5 июня 2022 года взломали сайт Министерства строительства и жилищно-коммунального хозяйства России (minstroyrf.gov.ru). Киберпреступники Telegram-канала @dumpforum потребовали заплатить 0,5 BTC до 7 июня, угрожая раскрытием персональных данных пользователей сайта в Сети.

Независимые исследователи изучили криптореквизиты используемые мошенниками, а также проследили пути пополнения адресов, для выявления связи с другими преступными посягательствами.

Изучение адреса bc1q00z5ufrc00zacgj9hxtc6ku6s2n50ptcxd6s4l позволило установить следующее:

·         дата создания 24 мая 2022 года,

·         имеет только 3 входящих транзакции,

·         оборот адреса составляет 0.163 BTC

·         текущий баланс составляет 0.163 BTC

 

Установлено что пополнение указанного адреса было осуществлено 3 раза:

·         05 июня 2022 года пополнение на 0.1485 BTC с 4-х адресов, исследование которых показывает, что все они сводятся к одному адресу 3M3h7y5Cz55BCPJqZSXrd1NLfTtsTDqQgN;

·         01 июня 2022 года пополнение на 0.011 BTC  с адреса 3JrnmtUTNMwQnTxyFN1SemQyy3NVLVjnz7;

·         24 мая 2022 года пополнение на 0.004 BTC с адреса bc1qr3gpkna5ltkuvhm73l44ex3wu8emq2ch5h8vyy.

 

Дальнейшее изучения транзакций выявило следующее обстоятельство: 24 мая 2022 года пополнение адреса bc1q00z5ufrc00zacgj9hxtc6ku6s2n50ptcxd6s4l, при его создании,  было осуществлено транзакцией, которая одновременно пополнила адрес  bc1qknlt89kx6fx3gkgl5zg3wq4zqzmj4mwx46qcz6. Изучение транзакций данного адреса показывает, что денежные средства в размере 0.157 BTC были выведена на адрес bc1qpgsvkl8x50da2q22jjp40v72jtqgd8w3fy54m2, принадлежащий сервису Bitzlato.

 

Изучение пополнений адреса 3M3h7y5Cz55BCPJqZSXrd1NLfTtsTDqQgN показывает, что он пополнялся с биржи Houbi (адреса 1Nq3ANDoAqLjSSKKj9GsYTtgLNLJHmxb5W  и 17u7anHtN8nRoRgo4NnN66q1JmKsjhPHSw). Так же часть средств с данного адреса были направлены на кошелек холодного хранения 3AtuWZ287R3Jz76cyFjmEKeZRf3hTD4nXV, баланс которого на текущий момент составляет 1.27 BTC.

Изучение пополнения адреса  3JrnmtUTNMwQnTxyFN1SemQyy3NVLVjnz7  показывает, что он пополнялся с  адреса 3CcF942kYVRotGrfYQxD4QNn4aKVywpRxb (оборот более 300 000 BTC) вероятно принадлежит крупной бирже либо обменному сервису.

Изучение пополнений адреса bc1qr3gpkna5ltkuvhm73l44ex3wu8emq2ch5h8vyy показывает, что он пополнялся с биржи Houbi и сервиса Bittrex.

Граф транзакций и связей можно посмотреть по ссылке: https://tokenscope.com/graph?uid=b0768d82-41ff-46a2-a536-4898199a09fd

                Таким образом, изучение адреса вымогателя позволило установить, что его пополнение было осуществлено в конце мая-начале июня текущего года с адресов, пополнение которых осуществлено с биржи Houbi и сервиса Bittrex, при этом вывод средств производился с сервиса Bitzlato.  

 

Выполнено с использованием программы TokenScope