Les hackers Greavys (Malone Iam), Wiz (Veer Chetal) et Box (Jeandiel Serrano) ont réussi le mois dernier à dérober 243 millions de dollars en cryptomonnaies. Leur unique victime, un créancier de Genesis, a été escroquée de la totalité de ses fonds grâce à une technique d'ingénierie sociale sophistiquée.
Cetdent a été soigneusement planifié et son exécution a été impeccable (sans vouloir offenser la victime).
ZachXBT, un enquêteur spécialisé dans le piratage informatique, a travaillé sur l'affaire, reliant les différents éléments et collaborant avec les forces de l'ordre pour geler des millions et procéder à de multiples arrestations.
1/ Une enquête sur la façon dont Greavys (Malone Iam), Wiz (Veer Chetal) et Box (Jeandiel Serrano) ont dérobé 243 millions de dollars à une seule personne le mois dernier grâce à une attaque d'ingénierie sociale très sophistiquée, et mes efforts qui ont permis de mener à de multiples arrestations et au gel de millions de dollars. pic.twitter.com/dcY1e9xsPd
– ZachXBT (@zachxbt) 19 septembre 2024
L'attaque a débuté le 19 août. Greavys, Wiz et Box ont utilisé des numéros usurpés et de faux appels d'assistance pour se faire passer pour des représentants de Google et de Gemini.
Ils ont manipulé la victime pour qu'elle réinitialise son authentification à deux facteurs (2FA) et transfère des fonds de son compte Gemini vers un portefeuille compromis.
Les pirates ont également accédé aux clés Bitcoin privées de la victime en utilisant AnyDesk, un logiciel de bureau à distance, lors d'une session de partage d'écran.
Une fois les clés révélées, ils sont devenus inarrêtables.
La première Bitcoin a eu lieu à 1 h 48 GMT, avec un montant de 59,34 BTC. Peu après, à 2 h 30, 14,88 BTC supplémentaires ont été transférés.
Mais oh, ce n'était que le début.
238 millions de dollars en une seule transaction
À 4 h 05 UTC, la plus grande partie du braquage a eu lieu.
4064 BTC, d'une valeur de 238 millions de dollars à l'époque, ont été transférés en une seule transaction.
Zach a partagé une vidéo privée où l'on voit les hackers célébrer la réception des fonds. Leurs réactions ? Exactement celles auxquelles on pouvait s'attendre après un vol de 240 millions de dollars : choc, excitation et peut-être un brin d'arrogance.
Vérifiez-le:
Après cela, les fonds volés ont été répartis entre les pirates informatiques et envoyés via plus de 15 plateformes d'échange de cryptomonnaies différentes.
Les criminels ont transféré l'argent entre Bitcoin, Litecoin, Ethereumet Monero pour rendre le tracplus difficile. Malgré cela, Zach a réussi à tracla piste et àdentchaque étape du parcours des pirates.
Wiz, qui a reçu la majeure partie des fonds volés, a commis une gaffe lors d'un partage d'écran en prononçantdentson vrai nom.
Comme si cela ne suffisait pas, ses partenaires l'appelaient « Veer » dans des enregistrements audio et des conversations.
Au moins 34,5 millions de dollars de la part de Wiz ont été retrouvés dans un portefeuille Ethereum (0x3c7a5f2795e73d2b94a9120a643f608cfc45c935).
Même si Wiz a essayé de dissimuler ses trac, les fuites étaient trop évidentes.
L'ami de Wiz, connu sous le nom de Light ou Dark, l'a aidé à blanchir les fonds volés en utilisant des plateformes comme eXch et Thorswap.
Mais tout comme Wiz, Light/Dark a commis la même erreur : il a divulgué son nom lors d'un partage d'écran.
Zach a confirmé le dernier transfert de cryptomonnaie de Wiz vers une adresse de portefeuille spécifique : 0xa212d7441fed6db9ab666ba34e8c440c565f4af8.
Le style de vie extravagant et les erreurs d'inattention
Greavys, ou Malone Iam, vit dans le luxe : il s'est offert plus de 10 voitures de luxe et a dépensé des centaines de milliers de dollars dans des boîtes de nuit à Los Angeles et à Miami.
Certains soirs, il dépensait entre 250 000 et 500 000 dollars, distribuant même des sacs Birkin comme si de rien n'était.
D'après des extraits vidéo et des historiques de conversations, des personnes l'appelaient « Malone » alors qu'il exhibait des fonds volés sur Discord.
À l'heure actuelle, 3,5 millions de dollars du butin de Greavys se trouvent dans un autre portefeuille Ethereum (0x21d7d256be564191a43553e574c06a4d0e629767).
Greavys n'était pas vraiment un expert pour dissimuler sa localisation.
tracOSINT (Open Source Intelligence) l'ont localisé à Los Angeles et à Miami car ses amis et ses copines publiaient presque tous les soirs ses déplacements sur les réseaux sociaux.
Box, alias Jeandiel Serrano ou John, était l'individu qui se faisait passer pour un agent du service client de Gemini au téléphone. Il manipulait la victime, la guidant dans le transfert de fonds vers le portefeuille piraté.
Sur Discord et Telegram, Box utilise systématiquement la même photo de profil. Cela a suffi aux enquêteurs pour tracses déplacements.
Au moins 18 millions de dollars liés à Box se trouvent actuellement dans un portefeuille Ethereum (0x98b0811e2cc7530380caf1a17440b18f71f51f4e).
Un autre participant à ce jeu était Danny Trauma, connu sous le pseudonyme de Meech dans les discussions Telegram.
Son rôle n'est pas tout à fait clair, mais on sait qu'il avait accès à plusieurs bases de données de faillites. Son ex-petite amie a divulgué toutes ses photos, sondentn'est donc plus un secret.
Les enquêteurs ont également découvert un groupe d'adresses Ethereum liées à la fois à Box et à Wiz.
Plus de 41 millions de dollars provenant de deux plateformes d'échange ont transité par ces adresses, la majeure partie finissant entre les mains de courtiers en produits de luxe pour l'achat de voitures, de montres, de bijoux et de vêtements de créateurs.
Les échanges de messages le confirment. Les pirates discutaient ouvertement de la façon dont ils dépensaient les fonds volés.
Bien que la plupart des fonds volés aient été convertis en Monero (XMR) pour les rendre plus difficiles à trac, Zach a déclaré que Box et Wiz avaient tous deux commis une nouvelle erreur.
Ils ontdentlié les fonds blanchis aux fonds illicites. Lors d'un partage d'écran, Wiz a montré une adresse qu'il utilisait pour envoyer de l'argent pour des vêtements de marque, dont des millions provenaient de fonds illicites.
Box a commis une erreur similaire en réutilisant une adresse de dépôt, liant ainsi des fonds légitimes à des fonds volés.
Zach n'a pas agi seul. Il a mentionné dans le fil de discussion X qu'il avait reçu l'aide de l' Binance , de CFInvestigators et de ZeroShadow pour trac les fonds.
Ensemble, ils ont réussi à geler plus de 9 millions de dollars. Environ 500 000 dollars ont déjà été restitués à la victime.
Grâce à l'enquête, Box et Greavys ont été arrêtés à Miami et à Los Angeles.
Il est probable que les forces de l'ordre aient saisi des fonds supplémentaires lors des arrestations, compte tenu des importants transferts effectués à peu près au même moment.
Alors, oui. Ces types étaient soit vraiment stupides, soit vraiment courageux, même si la première hypothèse semble plus probable, non ?
L'affaire est en cours
