Министерство юстиции США сообщает, что в Майами задержаны двое подозреваемых, которые обвиняются в сговоре с целью кражи и отмывания более 230 млн долларов в криптовалюте.
20-летний Мэлоун Лэм (Malone Lam, также известен под никами Greavys, Anne Hathaway и $$$) и 21-летний Жандиэль Серрано (Jeandiel Serrano, также известен под никами Box, VersaceGod и @SkidStar) были арестованы ФБР на прошлой неделе и уже 19 сентября предстали перед судом.
Правоохранители рассказывают, что в ходе успешной атаки 18 августа 2024 года обвиняемые похитили у неназванной жертвы из Вашингтона более 4100 биткоинов (на тот момент их стоимость составляла более 230 млн долларов США).
Согласно судебным документам, Лэм, Серрано и их сообщники якобы получили несанкционированный доступ к криптовалютным счетам жертвы, перевели средства на подконтрольные им кошельки, а затем отмыли похищенные активы.
Отмывание криптовалюты осуществлялось через криптобиржи с использованием P2P, «промежуточных» кошельков и VPN (чтобы скрыть свои личности и местоположение).
После этого, с помощью украденной криптовалюты, обвиняемые вели роскошный образ жизни, тратя похищенное на путешествия, дорогие автомобили, часы, дизайнерские сумки и походы в ночные клубы в Лос-Анджелесе и Майами.
К примеру, Мэлоуна без труда нашли с помощью OSINT, потому что его друзья и девушки регулярно публиковали в социальных сетях его местоположение в Лос-Анджелесе и Майами. У него самого также был аккаунт в Instagram*, где он еще недавно выкладывал фото под своим настоящим именем.
Известный ИБ-исследователь и блокчейн-аналитик ZachXBT помогал правоохранительным органам в расследовании этого инцидента. Он подробно рассказал, что выявил третьего предполагаемого участника кибератаки, который известен под псевдонимом Wiz.
Wiz «засветился» после того, как случайно раскрыл свое настоящее имя во время сеанса совместного использования экрана (screen-sharing).
У себя в X исследователь даже опубликовал приватное видео, на котором запечатлена реакция мошенников на получение 238 млн долларов.
По словам ZachXBT, группировка атаковала некоего кредитора криптовалютной биржи Genesis, используя поддельные телефонные номера и выдавая себя за сотрудников службы поддержки Google и Gemini, чтобы скомпрометировать его счета.
Выдавая себя за представителей поддержки Gemini, хакеры убедили жертву в том, что ее аккаунт был взломан, и обманом вынудили перенастроить двухфакторную аутентификацию, перевести активы на «безопасный» кошелек, а также предоставить доступ к своему устройству через приложение AnyDesk, что помогло мошенникам получить доступ к приватным ключам Bitcoin Core и похитить криптовалюту.
«Первоначальное расследование показало, что 243 млн долларов были поделены между сообщниками, после чего средства быстро разошлись более чем по 15 биржам, перемещаясь туда-сюда между Bitcoin, Litecoin, Ethereum и Monero», — говорит ZachXBT.
Последующее расследование показало, что группа Ethereum-адресов, связанных с Серрано и Wiz, получила более 41 млн долларов с двух криптобирж за последние недели. Несмотря на попытки замести следы, отмытые средства удалось отследить, когда обвиняемые начали использовать их для покупки роскошных автомобилей, часов и ювелирных изделий, практически не скрываясь.
Исследователь отмечает, что хотя большая часть средств была конвертирована в Monero для большей анонимности, Wiz и Серрано допустили множество критических ошибок, которые и помогли связать отмытые средства с украденной криптовалютой.
*Принадлежит компании Meta, деятельность которой признана экстремистской и запрещена на территории РФ.