Криптоинследователи используют поддельные аккаунты, чтобы проникнуть на форумы, где собираются киберпреступники, — Telegram, Discord и другие платформы, — чтобы планировать свои действия и хвастаться ими. Воры, как правило, молоды и беспечны и иногда оставляют после себя следы.
Подпишитесь на канал "Жизнь Дурова: ЗОЖ, деньги, ИТ" - все самое главное о здоровье, технологиях и деньгах
После того, как ZachXBT опубликовал пост об ограблении, источник связался с ним через одноразовый аккаунт и поделился потенциальными подсказками о личности воров. Источник отправил ZachXBT несколько записей экрана, которые, по его словам, были сделаны, когда один из мошенников вёл прямую трансляцию ограбления для группы своих друзей. Видео, общей продолжительностью полтора часа, включали разговор с жертвой. В одном из роликов показана реакция мошенников, когда они поняли, что успешно украли биткоины жителя округа Колумбия на сумму 243 миллиона долларов. Слышен голос, кричащий: «О боже мой! О боже мой! 243 миллиона долларов! Да! О боже мой! О боже мой! Брат!»
В личных чатах они использовали такие никнеймы, как Swag, $$$ и Meech, но допустили серьёзную ошибку. Один из них показал свой домашний экран Windows, на котором в нижней части экрана во всплывающем меню «Пуск» было указано его настоящее имя: Вир Четаль, 18-летний парень из Дэнбери, сын похищенной пары.
Тихий отличник, недавно окончивший среднюю школу «Иммакулат» в Дэнбери, Вир Четаль собирался поступить в Рутгерский университет в Нью-Джерси. В 2022 году он окончил программу для «будущих юристов», и в том же году на сайте «Иммакулат» появилась статья с фотографией улыбающегося парня в очках, на котором была ветровка Tommy Hilfiger поверх красного поло.
Одноклассники помнят Четала застенчивым и фанатом автомобилей. “Он просто держался особняком”, - говорит Марко Диас, который подружился с Четалом на последнем курсе. По словам другого одноклассника по имени Ник Пэрис, это было правдой для Четала, пока однажды в середине его выпускного класса он не появился в школе за рулем Corvette. “Он просто припарковался на стоянке. Было 7:30 утра, и все спрашивали: ”Что?" Говорит Пэрис. Вскоре Четэл подъехал на «БМВ», а затем на «Ламборгини Урус». Он начал носить рубашки от «Луи Виттон» и обувь от «Гуччи», а в День выпускника, когда Пэрис и многие его одноклассники отправились в ближайший торговый центр, Четэл взял с собой нескольких друзей, в том числе Диаса, в Нью-Йорк на вечеринку на арендованной им яхте, где они фотографировались с пачками денег.
Четал сказал, что заработал свои деньги, торгуя криптовалютой. Диас говорит, что однажды утром во время классного часа Четал показал ему сделки на своём телефоне в качестве доказательства. Однажды Четал арендовал большой дом в Стэмфорде, штат Коннектикут, и устроил трёхдневную вечеринку с друзьями. «В какой-то момент я был в подвале и просто тусовался с друзьями, и я увидел, как он сидит на диване и смотрит в телефон, практически игнорируя всех на вечеринке», — говорит Диас. «И я подумал: «О, это как-то странно». Пэрис вспоминает, что во время школьного парада полиция остановила Четала на его Lamborghini Urus за нарушение правил дорожного движения. «Он буквально на месте позвонил своему адвокату, прежде чем отвечать на вопросы полицейских, и все подумали: «Ого, у этого парня что-то есть. Например, у этого парня серьёзные деньги».
Независимые следователи утверждают, что Четал тайно был членом Com, также известного как Comm или Сообщество, — онлайн-сети чатов, которая уходит корнями в хакерское подполье 1980-х годов и функционирует как своего рода социальная сеть для киберпреступников или начинающих киберпреступников. В показаниях под присягой по другому делу агент ФБР описал Com как «географически разнообразную группу лиц, организованную в различные подгруппы, которые координируют свои действия с помощью приложений для онлайн-коммуникации, таких как Discord и Telegram, для осуществления различных видов преступной деятельности». Согласно показаниям под присягой, данным ФБР, и экспертам, изучающим Com, деятельность различных подгрупп включает в себя ложные вызовы в службы экстренной помощи или в такие учреждения, как школы, чтобы вызвать полицию; подмену SIM-карт, когда хакеры получают доступ к номеру телефона жертвы, иногда обманывая представителей службы поддержки; атаки с использованием программ-вымогателей, которые блокируют доступ пользователей или организаторов к компьютерным файлам; кражу криптовалюты; а также корпоративные взломы.
Эллисон Никсон, главный научный сотрудник Unit 221B, коллектива экспертов по кибербезопасности, следит за этим растущим сегментом интернета с 2011 года и считается ведущим экспертом по Com. Она говорит, что большинство участников Com — молодые люди из западных стран. В групповых чатах многие говорят о колледже и занятиях по кибербезопасности, которые они используют в своих интересах, — говорит она. Для многих вход в Com начинается с видеоигр, таких как RuneScape, Roblox и Grand Theft Auto.
К середине 2010-х годов в Minecraft — игре с элементами творчества и строительства — начал расцветать более зловещий мир, чему способствовало появление онлайн-серверов, которыми владели и управляли пользователи и которые позволяли геймерам убивать друг друга в командах, или «фракциях». На этих серверах Minecraft превратился в высококонкурентную зону боевых действий. С этим появились возможности для монетизации и мошенничества. Вскоре на серверах начали появляться внутриигровые покупки, которые давали игрокам улучшения, например, возможность летать и сражаться с более мощным оружием и броней. Другие внутриигровые покупки позволяли пользователям приобретать стильные наряды для персонажей, которые использовались для демонстрации статуса в сети.
По мере того, как игроки переходили на эти соревновательные серверы, в Discord начал процветать крупный чёрный рынок внутриигровых предметов и ценных имён пользователей. Поскольку в Minecraft доминировали молодые игроки, чёрный рынок стал благодатной почвой для мошенничества. Пользователи соглашались обменивать внутриигровые предметы на реальные деньги через PayPal, но как только деньги поступали, мошенники блокировали аккаунт пользователя. Это стало настолько распространённым явлением, что люди начали рекламировать себя как проверенных посредников, которые забирали и деньги, и внутриигровые предметы, а затем передавали их каждой стороне за плату.
Одним из самых ценных предметов в этом мире являются имена пользователей, состоящие из четырёх и более букв, например, Tree, OK, Mark, YOLO или G. Любое из них может стоить более 10 000 долларов.
По мере того, как развивались серверы, основанные на фракциях, и чёрный рынок Minecraft, развивались и криптовалюты, которые в конечном итоге вытеснили PayPal на этих серверах. Именно это сочетание свободной от последствий тренировочной площадки для соревнований, азартных игр и мошенничества с растущим знакомством с криптовалютами превратило серверы Minecraft в рассадник начинающих киберпреступников.
Когда в 2017 году цена биткоина начала стремительно расти, участники Com легко переключились с мошенничества в Minecraft на кражу криптовалют. Один из популярных форумов Com назывался «OGUsers». Изначально он был посвящён обсуждению и покупке аккаунтов в социальных сетях и имён пользователей, но превратился в платформу для киберпреступлений, включая подмену SIM-карт и взлом аккаунтов в Twitter. «Очень, очень быстро эти антисоциальные сообщества превратились в одночасовых миллионеров и распространили эту культуру, потому что люди замечают, когда другие люди становятся миллионерами в одночасье, и хотят узнать, как они это сделали, — объясняет Никсон. — Размер сообщества резко вырос».
Распространённой тактикой, которую сегодня использует «Ком» для кражи криптовалюты, является так называемая социальная инженерия, которая подразумевает манипулирование пользователями с целью получения конфиденциальной информации. Члены «Ком» составляют длинные списки потенциальных жертв, полученные в результате утечки данных, а затем напрямую обращаются к ним, что и произошло в случае с жертвой из округа Колумбия. Иногда они размещают объявления о вакансиях в интернете, чтобы нанять людей для участия в своих схемах. Одно объявление, опубликованное в Telegram, которым со мной поделился Ник Бакс, криптоследователь, обещало «5000 в неделю» — то есть пятизначную сумму — «если ты не будешь медлить» с обзвоном потенциальных жертв. «Требуется американский профессиональный голос для обслуживания клиентов», — говорилось в объявлении. Иногда участники Com возвращаются на чёрный рынок Minecraft, чтобы отмыть украденную криптовалюту, покупая ценные игровые предметы и продавая их за реальные доллары с помощью PayPal.
После того, как ZachXBT узнал имя Вира Четала, ему и другим следователям не потребовалось много времени, чтобы выяснить личности других участников криптовалютного ограбления. В записях, которые получил ZachXBT, воры называли друг друга своими кодовыми именами, а в некоторых случаях и настоящими именами. Одним из часто упоминаемых имён было «Мэлоун». Это был Мэлоун Лам, известная в сообществе личность, которая использовала псевдонимы Гривис и Энн Хэтэуэй.
Лэм был 20-летним парнем из Сингапура и известным игроком в Minecraft с чёлкой, грубо подстриженной по линии бровей. Его забанили на серверах Minecraft, но он нашёл способ вернуться. Весной 2023 года, когда у него возникли небольшие разногласия с администраторами сервера Minecadia, из-за которых он потерял внутриигровые предметы, он опубликовал в интернете адреса и номера социального страхования сотрудников и, по крайней мере в одном случае, вызвал экстренные службы к ним домой, согласно сообщениям нескольких пользователей и чатов Discord того времени. Именно в Minecraft Четэл и Лам впервые познакомились, играя вместе во фракции под руководством Лама. В октябре 2023 года Лам прибыл в Соединённые Штаты по 90-дневной визе. Он практически перестал играть в Minecraft. Согласно судебным документам, он начал финансировать свой образ жизни за счёт других мошеннических схем, связанных с криптовалютой.
После кражи криптовалюты в августе 2024 года ZachXBT смог отследить Лама с помощью так называемой OSINT — разведки с открытым исходным кодом. Другими словами, с помощью социальных сетей. В группах мессенджера Com распространялись слухи о том, что Лам сорил деньгами. Никто, казалось, не знал, откуда у него деньги, но все говорили о его расточительности в ночных клубах Лос-Анджелеса. ZachXBT изучил самые популярные ночные клубы города, а затем просмотрел истории в Instagram посетителей вечеринок и самих клубов. На одном из постов Мэлоуна засняли в белой куртке Moncler, с кольцами, украшенными бриллиантами, и в солнцезащитных очках, инкрустированных бриллиантами. Он встал на стол и начал осыпать толпу стодолларовыми купюрами. Пока деньги сыпались дождём, официанты выносили бутылки шампанского по 1500 долларов, украшенные бенгальскими огнями, и держали таблички с надписью «@Мэлоун». За один вечер он потратил 569 528 долларов. В одном из ночных клубов Лэм и его команда троллили ZachXBT, заставляя посетителей клуба держать в руках таблички с надписью «Я же говорил, что мы победим», а на другой табличке было написано: «[Нецензурное слово] ZACHXBT».
В течение нескольких недель Лэм купил 31 автомобиль, в том числе эксклюзивные «Ламборгини», «Феррари» и «Порше», стоимость некоторых из которых достигала 3 миллионов долларов. 24 августа он, по-видимому, отправил фото розового «Ламборгини» одной модели. «Я купил тебе подарок, назовём его ранним подарком на день рождения», — написал он ей. Она ответила: «Я снова занята». Он ответил: «idc» — мне всё равно.
10 сентября, после 23-дневной вечеринки в Лос-Анджелесе, Лэм отправился в Майами на частном самолёте с группой друзей. Там он арендовал несколько домов, в том числе особняк с 10 спальнями и стоимостью 7,5 миллионов долларов. Через несколько дней Лэм заполнил подъездную дорожку роскошными автомобилями, в том числе несколькими «Ламборгини», на одном из которых было написано «Мэлоун».
Каждые несколько дней ZachXBT отправлял собранные им сведения в правоохранительные органы. Информация, как правило, поступала в одном направлении, но федеральные власти параллельно проводили собственное расследование. Согласно судебным документам, предполагаемые соучастники использовали сложные методы отмывания денег, чтобы скрыть средства и замаскировать свою личность, используя криптовалютные биржи, такие как eXch, которым не требуется личная информация клиентов, и VPN-соединения, которые скрывают их местоположение. Но, по крайней мере, в одном случае, по словам властей, один из них допустил небрежность, не воспользовавшись VPN, когда создавал учётную запись на бирже цифровых валют TradeOgre, которая была подключена к IP-адресу, зарегистрированному на арендованный дом в Энсино, штат Калифорния, стоимостью 47 500 долларов в месяц. Дом был арендован 21-летним Жандиэлем Серрано, который в интернете использовал псевдонимы VersaceGod, @SkidStar и Box. К тому времени, когда власти установили личность Серрано, он отдыхал на Мальдивах со своей девушкой.
18 сентября Серрано вернулся с Мальдивских островов в международный аэропорт Лос-Анджелеса, где его ждали власти. На момент ареста на нём были часы стоимостью 500 000 долларов. Изначально Серрано отрицал свою причастность к краже и согласился поговорить с правоохранительными органами без адвоката. Но вскоре он признал свою причастность, согласно судебным протоколам, в частности, к тому, что он выдавал себя за сотрудника Gemini. Серрано признал, что у него было пять автомобилей, два из которых были подарены ему одним из соучастников на деньги, вырученные от предыдущего мошенничества. Он также признался, что имел доступ к криптовалюте жертвы на сумму около 20 миллионов долларов на своём телефоне, и согласился вернуть средства ФБР.
В то же время агенты в Майами готовились к обыску в одном из арендованных Ламом особняков. Лам знал, что это произойдёт: сразу после ареста Серрано его девушка позвонила, чтобы предупредить сообщников. Затем они удалили свои аккаунты в Telegram и другие компрометирующие их доказательства со своих телефонов.
Позже в тот же день группа агентов ФБР, работавших вместе с полицией Майами, провела обыск в особняке недалеко от Майами-Шорс. Агенты взорвали входные металлические ворота, в то время как другая группа проникла в дом по небольшому каналу с солёной водой. Когда агенты вошли в дом, по окрестностям разнеслись звуки выстрелов.
Через несколько мгновений агент вывел из дома Лэма в наручниках, в белом топе с длинными рукавами, бордовых баскетбольных шортах и кроссовках, в то время как в воздухе висел дым. За ним последовали ещё как минимум пять человек, находившихся в доме вместе с ним. Серрано и Лэму были предъявлены обвинения в отмывании денег и сговоре с целью совершения мошенничества с использованием электронных средств связи. По каждому из обвинений им грозит до 20 лет лишения свободы.
Ровно через месяц после ограбления вечеринка закончилась.
В Дэнбери, в течение нескольких дней и недель после похищения Четалов, Кастровинчи и полиция работали с федеральными следователями над возбуждением дела против группы из Флориды. Они получили экстренный доступ к телефонам подозреваемых, где могли просматривать переписку в групповых чатах и записывать перемещения групп.
Они узнали, что поездка была организована и частично оплачена 23-летним Анхелем Борреро из Майами, который называл себя Чи-Чи. В групповом чате Борреро написал остальным: «Если всё пройдёт хорошо, то в следующий раз мы отправимся в Кали», что, по мнению федеральных следователей, означало, что группа планировала что-то ещё в Калифорнии. В тот же день Хосуэ Альберто Ромеро, который использовал псевдоним Суэй, отправил группе сообщение: «Чичи, мы готовы как никогда». Чаты указывали на то, что группа начала координировать свои действия ещё в 7 утра и провела часть дня, наблюдая за Четалами.
К тому времени власти установили мотив: по мнению полиции, мужчины напали на Четалов, чтобы потребовать у них выкуп за деньги, которые были у их сына. Независимые следователи считают, что по крайней мере один из членов группы, Рейнальдо (Рей) Диас, который, по их словам, использовал псевдоним Пантик, был членом Com; ZachXBT предполагает, что воры могли стать мишенью, рассказывая другим членам Com о своих тратах. «Вы бы подумали, что, совершив преступление, вы бы заткнулись и молчали», — говорит он. «Но им вроде как приходится компенсировать это, хвастаясь перед своими друзьями — теми, кого они считают своими друзьями. Но они могут и не быть их друзьями».
27 августа полиция Дэнбери предъявила обвинения шестерым подозреваемым по этому делу: в нескольких случаях нападения первой степени, похищения первой степени и неосторожного создания угрозы. Затем были предъявлены федеральные обвинения. 24 сентября в Федеральном окружном суде Коннектикута было зачитано обвинительное заключение большого жюри, в котором шестерым мужчинам из Флориды были предъявлены обвинения в похищении, угоне автомобиля и преступном сговоре.
Эти шестеро мужчин из Флориды представляют собой растущую фракцию «Ком», которая меньше интересуется онлайн-схемами и больше озабочена применением грубой силы. Сам Диас был застрелен во Флориде двумя годами ранее, когда стал жертвой попытки ограбления.
В показаниях под присягой, данных ФБР, агент заявил, что «Ком» регулярно совершает «взрывы, перестрелки и поджоги». В 2022 году, согласно репортажу Брайана Кребса, независимого журналиста-расследователя, молодой человек по прозвищу Предвестник был похищен и избит конкурирующей бандой, занимающейся подменой SIM-карт, и удерживался с целью получения выкупа в размере 200 000 долларов. В октябре 2023 года 22-летний Патрик Макговерн-Аллен из городка Эгг-Харбор, штат Нью-Джерси, был приговорён к 13 годам тюремного заключения за участие в насильственных преступлениях по найму после того, как на него вышла группа киберпреступников. В ноябре прошлого года сообщалось, что исполнительный директор криптовалютной компании из Торонто был похищен и удерживался с целью получения выкупа в размере 1 миллиона долларов. Несколько недель спустя, после того как 13-летний подросток, известный как Quant Kid из поколения Z, создал криптовалюту и завысил её стоимость, криптосообщество ответило на это тем, что выложило в открытый доступ информацию о нём и его семье и, по слухам, похитило его собаку. В январе этого года основатель французской криптовалютной компании Ledger был похищен вместе со своей женой; похитители изуродовали ему руку и потребовали выкуп в размере нескольких миллионов долларов в криптовалюте.
Но всё чаще мишенью становятся люди, не имеющие никакого отношения к «Ком», говорит исследовательница Никсон. Некоторые предполагаемые члены «Ком» участвуют в так называемых группах причинения вреда, члены которых принуждают молодых женщин и девушек к членовредительству и насилию. Семь лет назад, по словам Никсон, в «Ком» было, может быть, несколько десятков человек, о которых стоило беспокоиться; сегодня их тысячи. «Прямо сейчас, — говорит она, — мы наблюдаем переход от неорганизованной преступности к организованной, и мы находимся где-то посередине этого процесса».
Два эпизода — кража криптовалюты и похищение — говорят о том, что полное отсутствие закона в онлайн-жизни участников Com позволило им вообразить, что им сойдёт с рук подобное в реальном мире. «Я не думаю, что они чему-то учатся, — говорит ZachXBT. — Я видел многих из них после того, как их арестовывали, конфисковывали активы и так далее, — я вижу, что многие из них возвращаются к тому, чем занимались раньше».
В этом году пятеро из шести мужчин из Флориды признали себя виновными в похищении людей и участии в заговоре. Им грозит до 15 лет лишения свободы. В январе в суде Хартфорда 19-летний Майкл Ривас извинился за свои действия, назвав их «глупыми» и сказав, что он помогал другому человеку в «вендетте», хотя и не уточнил, в чём именно.
В феврале 22-летнему жителю Джорджии по имени Джеймс Шваб было предъявлено обвинение в связи с заговором с целью похищения. Согласно федеральному уголовному иску, за месяц до похищения Шваб поссорился с Виром Четалом в ночном клубе Майами и помог финансировать заговор, а также организовать транспортировку и проживание нападавших. Он не признал себя виновным.
25 марта ZachXBT опубликовал новое сообщение в своей оригинальной теме на X, в котором описал свое расследование украденной криптовалюты. “Обновление: Виз (Вир Четал) был арестован”, - написал он. “Вот его фотография”. На прилагаемой фотографии был изображен молодой человек в белой футболке, с густыми волосами, темной бородой, опущенным ртом и измученными глазами. Он был мало похож на парня, изображенного на веб-сайте Безупречной средней школы. Обвинение, указанное в тюремной документации, является федеральным правонарушением, но не уточняет, в чём оно заключается.
По словам ZachXBT, украденные биткоины, которые он отследил до адресов, принадлежащих Четалу, теперь находятся в кошельке, контролируемом правоохранительными органами. Матово-серый Lamborghini Urus — тот самый, на котором Сушил и Радхика Четал ехали в день похищения — до сих пор хранится в качестве улики на охраняемой полицейской стоянке в Дэнбери. Это тот самый Lamborghini, на котором их сын однажды ездил в школу.
Подпишитесь на канал "Жизнь Дурова: ЗОЖ, деньги, ИТ" - все самое главное о здоровье, технологиях и деньгах