История расследования того, как Greavys (Malone Iam) Wiz (Veer Chetal), и Box (Jeandiel Serrano) украли 243 миллиона $ у одного человека 19 августа 2024 года с помощью сложнейшей атаки с использованием социальной инженерии, и усилия ZachXBT, которые помогли привести к многочисленным арестам и замораживанию тех самых миллионов долларов.
Итак, краткое введение в случившийся инцидент: 19 августа 2024 года угрожающие лица атаковали одного кредитора Genesis путём:
Звонков от имени службы поддержки Google по подмененному номеру с целью компрометации личных счетов;
Производили звонок как служба поддержки Gemini, утверждая, что аккаунт взломан;
Путем обмана (различных техник социальной инженерии) заставили жертву сбросить 2FA и отправить средства на взломанный кошелек;
Заставили жертву использовать AnyDesk для предоставления доступа к экрану, что привело к утере приватных ключей от Bitcoin core.
Ссылка на хэш транзакции Gemini: 59.34 BTC - Aug 19 at 1:48 am UTC
Ссылка на хэш транзакции: 14.88 BTC - Aug 19 at 2:30 am UTC
Здесь представлена частная видеозапись, показывающая живую реакцию нескольких участников на получение $238 млн.
Ссылка на хэш транзакции: 4064 BTC - Aug 19 at 4:05 am UTC
Первоначальный этап отслеживаний показал, что 243 млн долларов были распределены между каждой из сторон, после чего средства быстро ушли на 15 с лишним бирж, мгновенно меняясь местами между Bitcoin, Litecoin, Ethereum и Monero.
Wiz (Veer) получил большой % от кражи и оступился во время скриншота, сообщив свое полное имя во время кражи.
Дополнительный комфорт в расследовании был достигнут благодаря тому, что во время многочисленных записей сообщники называли его Veer на аудио и в чатах ($35,5 млн его средств находятся здесь)
Друг Wiz'a Light/Dark (Aakaash) помог отмыть для него деньги, используя eXch и Thorswap.
Как и Wiz, он также слил свое имя во время обмена скринами.
Адрес назначения также подтверждён в видео
Greavys (Malone) ведет яркий образ жизни, купив на украденные средства 10+ автомобилей, посещая с друзьями клубы в Лос-Анджелесе и Майами, тратя $250K-500K за ночь и раздавая девушкам сумки Birkin.
Кстати, на центральном скриншоте наш Greavys a/k/a Malone подарил своей обожаемой Lamborghini Urus стоимостью примерно $241 843 и 3 сумки Birkin стоимостью примерно $63 000. Но та не повелась и даже не сказала спасибо...
Она лишь написала, что её снова похитили для любовных утех 😆
Greavys был обнаружен с помощью OSINT в Лос-Анджелесе/Майами благодаря тому, что друзья/девушки каждый вечер сообщали о его местонахождении в социальных сетях.
У него также есть аккаунт в Instagram, где он размещал свои фотографии под своим именем в начале этого года(malone.lv).
Box (Jeandiel Serrano) сыграл свою роль, позвонив жертве как представитель биржи Gemini.
В Discord, Telegram и других платформах Box использует один и тот же pfp.
В настоящее время $19.5M, привязанные к Box, находятся здесь
Danny Trauma (датчанин) был активен во внутреннем Telegram-чате как Meech, хотя его точная роль неясна, хотя известно, что у него есть доступ к нескольким базам данных.
Однако его бывшая подружка слила все его фотографии в социальные сети, так что информация о нем стала достоянием общественности.
Группа eth-адресов, связанных с Box/Wiz, получила $41M+ с двух бирж, в основном направляя их брокерам предметов роскоши для покупки автомобилей, часов, ювелирных изделий и дизайнерской одежды.
Это также подтверждается тем, что было сказано в чатах о расходовании средств.
Хотя большая часть средств была конвертирована в XMR, и Box, и Wiz случайно связали отмытые средства с грязными средствами в нескольких случаях.
Wiz во время скриншота показал адрес, на который он отправлял средства для покупки дизайнерской одежды и который имел миллионные связи с вышеуказанным кластером(данный адрес).
При содействии CFInvestigators & zeroshadow_io и команды СБ Binance более $9M+ были заморожены, а $500K+ уже возвращены после расследования инцидента в тесном сотрудничестве с жертвой.
А в результате Box и Greavys были арестованы 18 сентября в Майами и Лос-Анджелесе.
Ещё больше познавательного контента из мира OSINT в Telegram-канале — @secur_researcher
