Отмывание крипты в Minecraft и шокирующее похищение: как в США разоблачили банду подростков-грабителей

Поздним августовским полднем 2024 года Сушил и Радика Четал рассматривали дома в Данбери, зажиточном городке в Коннектикуте. Сушил, вице-президент банковского холдинга Morgan Stanley в Нью-Йорке, сидел за рулем серого Lamborghini Urus. Но их просмотр прервался неожиданно: машину намеренно протаранила Honda Civic, а фургон Ram ProMaster перегородил путь. Шестеро мужчин в черном вытащили супругов из авто, избили Сушила битой, связали обоих и затолкали в фургон.

Рядом оказались свидетели – среди них офицер ФБР не на дежурстве. Именно он сообщил полиции о передвижении машин. Погоня завершилась через несколько миль: фургон слетел с дороги, четверо нападавших сбежали, но их вскоре нашли в лесу. В фургоне полицейские обнаружили связанных и напуганных Четалов.

Для детектива Стива Кастровинчи, который взялся за расследование, это было что-то и вовсе необычное: в тихом Данбери похищения обычно связаны со спорами об опеке, но точно не с насильственными засадами на миллионерских джипах. 24 Канал пересказывает историю The New York Times о громком похищении в богатом городке, Lamborghini, Minecraft и криптомошенничестве на 243 миллиона долларов.

Кто же нападавшие?

Никаких связей между нападавшими и семьей Четалов сначала найти не удалось. Еще больше удивляло, что все нападавшие – молодые мужчины из Майами, которые арендовали фургон через приложение Turo. Один из задержанных вскоре навел следователей на еще двух – их задержали на следующее утро в арендном помещении Airbnb.

И только через несколько дней настоящие мотивы начали вырисовываться. ФБР сообщило вероятную связь с криптовалютной кражей на четверть миллиарда долларов, произошедшей за неделю до нападения.

Все началось с подозрительных уведомлений о входе в Google-аккаунт жителя Вашингтона, столицы США. Затем ему позвонил якобы сотрудник службы безопасности Google, который знал все его личные данные. Через несколько минут жертва попала в новую ловушку: под видом специалиста криптобиржи Gemini ему позвонили с требованием "защитить" свой аккаунт и перевести биткоины на другой кошелек.

Читайте также Ограбление века: как хакеры КНДР воруют миллиарды крипты для финансирования ракет и оружия

Параллельно жертве аферистов предложили установить приложение для безопасности, которое на самом деле было программой для удаленного доступа. В результате мошенники получили доступ к еще одному кошельку, где хранилось более 4 100 биткоинов – на более 243 миллионов долларов.

В дело вступает крипта

Независимый крипторасследователь ZachXBT, известный в Twitter (теперь X), как раз проходил контроль в аэропорту, когда получил оповещение о странных транзакциях. После проверки он обнаружил, что выводится крипта с кошелька, который хранил монеты еще с 2012 года – и начал бить тревогу.

Вместе с другими следователями – среди них Джош Купер-Дакетт из Cryptoforensic Investigators – они начали информировать биржи, чтобы остановить переводы. Но с 240 миллионами долларов на руках злоумышленники играли в криптовалютную игру "у кого получится отмыть".

После того как ZachXBT обнародовал пост о краже, к нему обратился источник и прислал видео – экраны трансляции, где группа молодых людей праздновала успешную кражу. Один из участников ненароком показал домашний экран Windows, где было видно настоящее имя: Вир Четал.

Это оказался 18-летний сын супругов, которые и стали жертвами похищения. Выпускник местной католической школы, тихий парень, который внезапно начал приезжать в школу на Corvette, BMW и, в конце концов, Lamborghini Urus. Пока его сверстники ходили на прогулки в ТРЦ, он арендовал яхту в Нью-Йорке и фотографировался с пачками наличных.

Сообщество в тени

Независимые исследователи утверждают, что Вир Четал был тайным членом так называемой Com – ее еще называют Comm или Community – онлайн-сети чатов, которая берет свое начало из хакерского андеграунда 1980-х. Сегодня она функционирует как своего рода соцсеть для киберпреступников или тех, кто стремится ими стать.

В одном из присяжных заявлений по несмежному делу агент ФБР описал Com как "географически рассеянную группу лиц, организованных в подгруппы, которые координируются через онлайн-приложения по типу Discord и Telegram, чтобы совершать различные преступления".

Речь шла о сваттинге (фейковые вызовы спецслужб, в частности в школы), сим-свопинг (захват телефонных номеров через манипуляции с поддержкой), атаки с использованием шифровальщиков, кражи криптовалют и взломы корпораций.

Алисон Никсон, руководящая исследовательница в коллективе экспертов по кибербезопасности Unit 221B, следит за этой субкультурой с 2011 года. Она считается одной из лучших знатоков Com. По ее словам, большинство ее членов – молодые ребята из Западного мира. В групповых чатах многие говорят о колледже и курсах по кибербезопасности, которые они проходят, а потом используют эти знания. Часто первые шаги они делают через игры по типу RuneScape, Roblox или Grand Theft Auto.

Из Minecraft – в преступный мир

К середине 2010-х настоящее подполье начало прорастать и в Minecraft – креативной игре-песочнице. В пользу этого сработало появление онлайн-серверов, где игроки объединялись во фракции и вели битвы. Так Minecraft превратился в арену, где можно было не только соревноваться, но и зарабатывать – или обманывать других. Серверы вводили платные апгрейды: лучшее оружие, броню. Также появились скины для персонажей – как проявление статуса.

Отмывание средств в Minecraft подростковыми бандами / Коллаж 24 Канала и ChatGPT

Параллельно в Discord расцвел черный рынок игровых вещей и никнеймов. Minecraft был популярным среди детей – и поэтому черный рынок превратился в золотую жилу для мошенников. Торговля часто происходила через PayPal: одна сторона посылала деньги, а другая просто исчезала. Это явление стало настолько распространенным, что появился новый тип посредников – "проверенные", которые за небольшую плату обеспечивали честный обмен.

Читайте также Фейковые айтишники массово заполонили Европу: как и для чего КНДР создала теневую киберармию

Особенно ценными были короткие, престижные ники: Tree, OK, Mark, YOLO или G – каждый из них мог стоить более 10 000 долларов.

Вместе с расцветом фракционных серверов и черного рынка в Minecraft росла популярность криптовалют. В конце концов, они вытеснили PayPal как средство обращения. Сочетание безнаказанной среды, азарта, мошенничества и осведомленности о крипте превратило серверы Minecraft в рассадник будущих киберпреступников.

Когда в 2017 году цена Bitcoin резко взлетела, члены Com легко перешли от игрового мошенничества к краже криптовалют. Один из популярных форумов Com назывался OGUsers. Сначала он был платформой для обмена никами и аккаунтами, но со временем превратился в площадку для сим-свопинга и взломов аккаунтов в Twitter.

Эти антисоциальные сообщества очень быстро становились миллионерами, и это создавало культуру, которой хотели подражать другие. Com разросся в геометрической прогрессии,
– объясняет Никсон.

Одна из любимых тактик Com – социальная инженерия: манипуляции, которые заставляют жертву саму выдать нужную информацию. Они составляют длинные списки потенциальных целей – часто слитых из других баз данных – и прямо атакуют. Иногда в Telegram можно наткнуться на вакансии: звонить жертвам, и если "ur not slow", обещают "5f a week" – пятизначную сумму.

"Нужен голос американского профессионального саппорта", – говорилось в одном из объявлений. Крипту, украденную таким образом, потом отмывают, покупая дорогие вещи в Minecraft и перепродавая их уже за реальные деньги через PayPal.

По следам Мэлоуна

Когда ZachXBT получил имя Вира Четала, он с коллегами быстро вычислил других причастных к краже крипты. На записях, которые получил следователь, фигуранты общались как под псевдонимами с Com, так и под настоящими именами. Часто упоминалось имя Мэлоуна. Это был Мэлоун Лам – известный в Com под никами Greavys и Anne Hathaway.

Мэлоуну – 20 лет, он из Сингапура, имеет прическу с криво подстриженными челкой и является легендой Minecraft. Его неоднократно банили на серверах, но он всегда возвращался. В 2023-м он поссорился с админами Minecadia и за это выложил в сеть их адреса и номера соцстрахования, а у одного – даже вызвал полицию. Именно на этом сервере Лам и Четал играли вместе во фракции Лама. В октябре 2023 года Лам прилетел в США по 90-дневной визе. Minecraft тогда он уже почти бросил. В судебных документах указано, что он начал финансировать свою жизнь за счет криптомошенничества.

После криптограбежа в августе 2024-го ZachXBT отследил Лама через OSINT-источники. В чатах Com распространялись слухи: Мэлоун гуляет в Лос-Анджелесе на полную. Никто не знал, откуда у него деньги, но все видели – он купается в роскоши. Следователь просмотрел Instagram-stories из самых популярных ночных клубов города. В одной из них Лам, в белом пуховике Moncler, в бриллиантовых очках, разбрасывал из-под стола стодолларовые купюры. Официантки несли шампанское за 1 500 долларов с фейерверками, а в руках держали таблички "@Malone". В тот вечер он потратил полмиллиона долларов. В другом клубе компания Лама троллила плакатами ZachXBT.

К теме Кибератаки российских хакеров усилятся из-за сокращения помощи США: какая угроза для Украины

За несколько недель Лам купил 31 машину – кастомные Lamborghinis, Ferraris, Porsches, некоторые стоили по 3 млн долларов. 24 августа он прислал одной модели фото розового Lamborghini: "Подарок на день рождения наперед". Она ответила: "Я снова в отношениях", на что получила ответ "idc" – мне все равно.

10 сентября, после 23 дней вечеринок в LA, Лам улетел с друзьями в Майами на частном джетете. Там он снял несколько домов, в частности особняк за 7,5 млн долларов. За несколько дней его двор заполнился роскошными автомобилями. Одна из них имела надпись "Malone" сбоку.

Рейд и арест

Каждые несколько дней ZachXBT передавал данные в правоохранительные органы. Информация шла в одну сторону, но феды вели собственное расследование. По судебным документам, заговорщики использовали продвинутые методы для отмывания средств – биржи без верификации, VPN. Но один из них допустил ошибку: регистрировал аккаунт без VPN. IP-адрес вел к арендованной вилле в Энсино, Калифорния. Он был оформлен на 21-летнего Жандиэля Серрано – в Com его знали как VersaceGod, @SkidStar и Box. Когда его идентифицировали, он отдыхал на Мальдивах с девушкой.

Задержание в аэропорту / Коллаж 24 Канала и ChatGPT

18 сентября, вернувшись в Лос-Анджелес, Серрано был задержан прямо в аэропорту – с часами за 500 000 долларов на руке. Сначала он отрицал все, но впоследствии признался: он выдавал себя за сотрудника биржи Gemini, имел пять автомобилей (два – как подарок от сообщника) и доступ к 20 миллионам долларов украденной крипты прямо со смартфона. Он согласился вернуть эти средства ФБР.

Параллельно агенты готовили рейд на одну из арендованных вилл Лама. Но Серрано предупредил его: его девушка позвонила заговорщикам. Те успели удалить Telegram и другие доказательства.

В тот же день агенты ФБР и полиция Майами ворвались на виллу возле Miami Shores. Одни пробивали ворота, другие заходили через канал на лодках. Взрывались светошумовые гранаты.

Через несколько минут агент вывел в наручниках Лама – в белом лонгсливе, бордовых шортах и кроссовках. Его задержали вместе с еще пятью людьми. Ламу и Серрано предъявили обвинения в отмывании денег и сговоре с целью мошенничества. По каждому пункту – до 20 лет тюрьмы.

Ровно через месяц после преступления – вечеринка закончилась.

Расследование после похищения

После похищения Четалов в Данбери полиция вместе с федеральными агентами начала дело против группы из Флориды. Им удалось получить доступ к телефонам подозреваемых, где обнаружили, что путешествие частично организовал и профинансировал 23-летний Анхель Борреро по прозвищу Чичи. В групповом чате он писал: "If this go good we out to Cali next", что следователи интерпретировали как планы продолжения преступной деятельности в Калифорнии. Другой участник, Свай, написал: "Chichi we are more ready than ever" (Чичи, сейчас мы готовы больше, чем когда-либо).

Правоохранители пришли к выводу, что похищение Четалов было совершено с целью выкупа, поскольку сына семьи подозревали в том, что он владеет значительной суммой денег. Независимые исследователи считают, что один из нападавших, Рейнальдо Диас (Пантик), мог быть членом хакерского сообщества The Com. Исследователь ZachXBT предполагает, что жертвы сами стали мишенью из-за хвастовства своим состоянием в чатах Com.

27 августа полиция предъявила шестерым подозреваемым обвинения в похищении, нападении и угрозе жизни. Впоследствии федеральная прокуратура добавила обвинения в сговоре, угоне автомобиля и других преступлениях.

Шестерка из Флориды является частью более радикального крыла The Com – тех, кто прибегает к физическому насилию вместо онлайн-мошенничества. Диаса сами пытались ограбить во Флориде два года назад.

По словам агента ФБР, группа причастна к избиениям, стрельбам и поджогам. Независимые журналисты приводят примеры похищений, избиений и вымогательства выкупа в криптовалюте по всему миру – от США до Франции и Канады. Некоторые из групп принуждают несовершеннолетних к самоповреждению. Как говорит исследовательница Никсон:

Мы видим переход от неорганизованной к организованной преступности.

Криптопохищения и захват заложников показали, что безнаказанность в виртуальном мире подталкивает преступников к действиям в реальном.

Многие после ареста просто возвращаются к старому,
– говорит ZachXBT.

Пятеро из шестерых обвиняемых признались в преступлениях и могут получить по 15 лет. Один из них, 19-летний Майкл Ривас, назвал свои действия глупостью. В феврале еще один подозреваемый, Джеймс Шваб, был обвинен в сговоре – у него был конфликт с Четалом в ночном клубе и он помог организовать нападение.

Коллаж 24 Канала и ChatGPT

25 марта ZachXBT сообщил, что был арестован сам Вир Четал (Wiz). На фото из полиции у него истощенный вид. По словам ZachXBT, похищенные биткоины сейчас под контролем правоохранителей. Lamborghini, на котором ехала семья в день похищения, до сих пор хранится на полицейской стоянке – это та самая машина, на которой сын Четалов ездил в школу.