История расследования того, как Greavys (Malone Iam) Wiz (Veer Chetal), и Box (Jeandiel Serrano) украли 243 миллиона $ у одного человека 19 августа 2024 года с помощью сложнейшей атаки с использованием социальной инженерии, и усилия ZachXBT, которые помогли привести к многочисленным арестам и замораживанию тех самых миллионов долларов.

Итак, краткое введение в случившийся инцидент: 19 августа 2024 года угрожающие лица атаковали одного кредитора Genesis путём:

• Звонков от имени службы поддержки Google по подмененному номеру с целью компрометации личных счетов;

• Производили звонок как служба поддержки Gemini, утверждая, что аккаунт взломан;

• Путем обмана (различных техник социальной инженерии) заставили жертву сбросить 2FA и отправить средства на взломанный кошелек;

• Заставили жертву использовать AnyDesk для предоставления доступа к экрану, что привело к утере приватных ключей от Bitcoin core.

Ссылка на хэш транзакции Gemini: 59.34 BTC - Aug 19 at 1:48 am UTC

Ссылка на хэш транзакции: 14.88 BTC - Aug 19 at 2:30 am UTC

Здесь представлена частная видеозапись, показывающая живую реакцию нескольких участников на получение $238 млн.

Ссылка на хэш транзакции: 4064 BTC - Aug 19 at 4:05 am UTC

Первоначальный этап отслеживаний показал, что 243 млн долларов были распределены между каждой из сторон, после чего средства быстро ушли на 15 с лишним бирж, мгновенно меняясь местами между Bitcoin, Litecoin, Ethereum и Monero.

Wiz (Veer) получил большой % от кражи и оступился во время скриншота, сообщив свое полное имя во время кражи. 

Дополнительный комфорт в расследовании был достигнут благодаря тому, что во время многочисленных записей сообщники называли его Veer на аудио и в чатах ($35,5 млн его средств находятся здесь)

Друг Wiz'a Light/Dark (Aakaash) помог отмыть для него деньги, используя eXch и Thorswap. 

• Как и Wiz, он также слил свое имя во время обмена скринами.

Адрес назначения также подтверждён в видео

Greavys (Malone) ведет яркий образ жизни, купив на украденные средства 10+ автомобилей, посещая с друзьями клубы в Лос-Анджелесе и Майами, тратя $250K-500K за ночь и раздавая девушкам сумки Birkin.

Кстати, на центральном скриншоте наш Greavys a/k/a Malone подарил своей обожаемой Lamborghini Urus стоимостью примерно $241 843 и 3 сумки Birkin стоимостью примерно $63 000. Но та не повелась и даже не сказала спасибо...

Она лишь написала, что её снова похитили для любовных утех ?

Greavys был обнаружен с помощью OSINT в Лос-Анджелесе/Майами благодаря тому, что друзья/девушки каждый вечер сообщали о его местонахождении в социальных сетях.

У него также есть аккаунт в Instagram, где он размещал свои фотографии под своим именем в начале этого года(malone.lv).

Box (Jeandiel Serrano) сыграл свою роль, позвонив жертве как представитель биржи Gemini. 

В Discord, Telegram и других платформах Box использует один и тот же pfp.

В настоящее время $19.5M, привязанные к Box, находятся здесь

Danny Trauma (датчанин) был активен во внутреннем Telegram-чате как Meech, хотя его точная роль неясна, хотя известно, что у него есть доступ к нескольким базам данных. 

Однако его бывшая подружка слила все его фотографии в социальные сети, так что информация о нем стала достоянием общественности.

Группа eth-адресов, связанных с Box/Wiz, получила $41M+ с двух бирж, в основном направляя их брокерам предметов роскоши для покупки автомобилей, часов, ювелирных изделий и дизайнерской одежды. 

Это также подтверждается тем, что было сказано в чатах о расходовании средств.

Хотя большая часть средств была конвертирована в XMR, и Box, и Wiz случайно связали отмытые средства с грязными средствами в нескольких случаях.

Wiz во время скриншота показал адрес, на который он отправлял средства для покупки дизайнерской одежды и который имел миллионные связи с вышеуказанным кластером(данный адрес).

При содействии CFInvestigators & zeroshadow_io и команды СБ Binance более $9M+ были заморожены, а $500K+ уже возвращены после расследования инцидента в тесном сотрудничестве с жертвой.

А в результате Box и Greavys были арестованы 18 сентября в Майами и Лос-Анджелесе.

Ещё больше познавательного контента из мира OSINT в Telegram-канале — @secur_researcher