Пізнім серпневим полуднем 2024 року Сушіл і Радіка Четал розглядали будинки в Данбері, заможному містечку в Коннектикуті. Сушіл, віцепрезидент банківського холдингу Morgan Stanley у Нью-Йорку, сидів за кермом сірого Lamborghini Urus. Але їхній перегляд обірвався несподівано: машину навмисно протаранила Honda Civic, а фургон Ram ProMaster перегородив шлях. Шестеро чоловіків у чорному витягли подружжя з авто, побили Сушіла битою, зв'язали обох і заштовхали у фургон.

Поруч виявилися свідки – серед них офіцер ФБР, який був не на чергуванні. Саме він повідомив поліцію про пересування машин. Погоня завершилась за кілька миль: фургон злетів з дороги, четверо нападників утекли, але їх невдовзі знайшли в лісі. У фургоні поліцейські виявили зв'язаних і наляканих Четалів.

Для детектива Стіва Кастровінчі, який взявся за розслідування, це було щось зовсім незвичне: у тихому Данбері викрадення зазвичай пов'язані зі суперечками про опіку, але точно не з насильницькими засідками на мільйонерських джипах. 24 Канал переповідає історію The New York Times про гучне викрадення в багатому містечку, Lamborghini, Minecraft і криптошахрайство на 243 мільйони доларів.

Хто ж нападники?

Жодних зв'язків між нападниками та родиною Четалів спершу знайти не вдалося. Ще більше дивувало, що всі нападники – молоді чоловіки з Маямі, які орендували фургон через застосунок Turo. Один із затриманих незабаром навів слідчих на ще двох – їх затримали наступного ранку в орендному помешканні Airbnb.

І лише через кілька днів справжні мотиви почали вимальовуватися. ФБР повідомило ймовірний зв'язок із криптовалютною крадіжкою на чверть мільярда доларів, що сталася за тиждень до нападу.

Усе почалося з підозрілих сповіщень про вхід у Google-акаунт жителя Вашингтона, столиці США. Потім йому подзвонив нібито співробітник служби безпеки Google, який знав усі його особисті дані. За кілька хвилин жертва втрапила в нову пастку: під виглядом фахівця криптобіржі Gemini йому зателефонували з вимогою "захистити" свій акаунт і перевести біткоїни на інший гаманець.

Читайте також Пограбування століття: як хакери КНДР крадуть мільярди крипти для фінансування ракет і зброї

Паралельно жертві аферистів запропонували встановити застосунок для безпеки, який насправді був програмою для віддаленого доступу. У результаті шахраї отримали доступ до ще одного гаманця, де зберігалося понад 4 100 біткоїнів – на понад 243 мільйони доларів.

У справу вступає крипта

Незалежний крипторозслідувач ZachXBT, відомий у Twitter (тепер X), саме проходив контроль в аеропорту, коли отримав сповіщення про дивні транзакції. Після перевірки він виявив, що виводиться крипта з гаманця, який зберігав монети ще з 2012 року – і почав бити на сполох.

Разом з іншими слідчими – серед них Джош Купер-Дакетт із Cryptoforensic Investigators – вони почали інформувати біржі, щоби зупинити перекази. Але з 240 мільйонами доларів на руках зловмисники грали в криптовалютну гру "в кого вийде відмити".

Після того як ZachXBT оприлюднив пост про крадіжку, до нього звернулося джерело й надіслало відео – екрани трансляції, де група молодих людей святкувала успішну крадіжку. Один із учасників ненароком показав домашній екран Windows, де було видно справжнє ім'я: Вір Четал.

Це виявився 18-річний син подружжя, яке й стало жертвами викрадення. Випускник місцевої католицької школи, тихий хлопець, який раптово почав приїздити до школи на Corvette, BMW і, зрештою, Lamborghini Urus. Поки його однолітки ходили на прогулянки в ТРЦ, він орендував яхту в Нью-Йорку і фотографувався з пачками готівки.

Спільнота в тіні

Незалежні дослідники стверджують, що Вір Четал був таємним членом так званої Com – її ще називають Comm або Community – онлайн-мережі чатів, яка бере свій початок з хакерського андеграунду 1980-х. Сьогодні вона функціонує як свого роду соцмережа для кіберзлочинців або тих, хто прагне ними стати.

В одній із присяжних заяв у несуміжній справі агент ФБР описав Com як "географічно розпорошену групу осіб, організованих у підгрупи, які координуються через онлайн-додатки на кшталт Discord та Telegram, аби вчиняти різні злочини".

Йшлося про сваттинг (фейкові виклики спецслужб, зокрема до шкіл), сим-свопінг (захоплення телефонних номерів через маніпуляції з підтримкою), атаки з використанням шифрувальників, крадіжки криптовалют і злами корпорацій.

Алісон Ніксон, керівна дослідниця в колективі експертів з кібербезпеки Unit 221B, стежить за цією субкультурою з 2011 року. Вона вважається однією з найкращих знавчинь Com. За її словами, більшість її членів – молоді хлопці із Західного світу. У групових чатах багато хто говорить про коледж і курси з кібербезпеки, які вони проходять, а потім використовують ці знання. Часто перші кроки вони роблять через ігри на кшталт RuneScape, Roblox чи Grand Theft Auto.

З Minecraft – у злочинний світ

До середини 2010-х справжнє підпілля почало проростати й у Minecraft – креативній грі-пісочниці. На користь цього спрацювала поява онлайн-серверів, де гравці об'єднувались у фракції та вели битви. Так Minecraft перетворився на арену, де можна було не лише змагатись, а й заробляти – або ошукувати інших. Сервери вводили платні апгрейди: кращу зброю, броню. Також з'явились скіни для персонажів – як вияв статусу.



Відмивання коштів у Minecraft підлітковими бандами / Колаж 24 Каналу та ChatGPT

Паралельно в Discord розцвів чорний ринок ігрових речей та нікнеймів. Minecraft був популярним серед дітей – і тому чорний ринок перетворився на золоту жилу для шахраїв. Торгівля часто відбувалась через PayPal: одна сторона надсилала гроші, а інша просто зникала. Це явище стало настільки поширеним, що з'явився новий тип посередників – "перевірені", які за невелику плату забезпечували чесний обмін.

Читайте також Фейкові айтівці масово заполонили Європу: як і для чого КНДР створила тіньову кіберармію

Особливо цінними були короткі, престижні ніки: Tree, OK, Mark, YOLO або G – кожен з них міг коштувати понад 10 000 доларів.

Разом із розквітом фракційних серверів і чорного ринку в Minecraft зростала популярність криптовалют. Зрештою, вони витіснили PayPal як засіб обігу. Комбінація безкарного середовища, азарту, шахрайства та обізнаності з криптою перетворила сервери Minecraft на розсадник майбутніх кіберзлочинців.

Коли в 2017 році ціна Bitcoin різко злетіла, члени Com легко перейшли від ігрових шахрайств до крадіжки криптовалют. Один із популярних форумів Com називався OGUsers. Спочатку він був платформою для обміну ніками та акаунтами, але з часом перетворився на майданчик для сим-свопінгу та зламів акаунтів у Twitter.

Ці антисоціальні спільноти дуже швидко ставали мільйонерами, і це створювало культуру, яку хотіли наслідувати інші. Com розрісся в геометричній прогресії,

– пояснює Ніксон.

Одна з улюблених тактик Com – соціальна інженерія: маніпуляції, які змушують жертву сама видати потрібну інформацію. Вони складають довгі списки потенційних цілей – часто злитих з інших баз даних – і прямо атакують. Іноді в Telegram можна натрапити на вакансії: дзвонити жертвам, і якщо "ur not slow", обіцяють "5f a week" – п'ятизначну суму.

"Потрібен голос американського професійного саппорту", – йшлося в одному з оголошень. Крипту, вкрадену в такий спосіб, потім відмивають, купуючи дорогі речі у Minecraft і перепродуючи їх уже за реальні гроші через PayPal.

Слідами Мелоуна

Коли ZachXBT отримав ім'я Віра Четала, він із колегами швидко вирахував інших причетних до крадіжки крипти. На записах, які здобув слідчий, фігуранти спілкувались як під псевдонімами з Com, так і справжніми іменами. Часто згадувалось ім'я Мелоуна. Це був Мелоун Лам – відомий у Com під ніками Greavys і Anne Hathaway.

Мелоуну – 20 років, він із Сінгапуру, має зачіску з криво підстриженими чубом і є легендою Minecraft. Його неодноразово банили на серверах, але він завжди повертався. У 2023-му він посварився з адмінами Minecadia і за це виклав у мережу їхні адреси та номери соцстрахування, а в одного – навіть викликав поліцію. Саме на цьому сервері Лам і Четал грали разом у фракції Лама. У жовтні 2023 року Лам прилетів у США по 90-денній візі. Minecraft тоді він уже майже покинув. У судових документах зазначено, що він почав фінансувати своє життя за рахунок криптошахрайств.

Після криптограбіжки у серпні 2024-го ZachXBT відстежив Лама через OSINT-джерела. У чатах Com поширювались чутки: Мелоун гуляє в Лос-Анджелесі на повну. Ніхто не знав, звідки в нього гроші, але всі бачили – він купається в розкоші. Слідчий переглянув Instagram-stories з найпопулярніших нічних клубів міста. В одному з них Лам, у білому пуховику Moncler, у діамантових окулярах, розкидав з-під столу стодоларові купюри. Офіціантки несли шампанське за 1500 доларів із феєрверками, а в руках тримали таблички "@Malone". Того вечора він витратив пів мільйона доларів. В іншому клубі компанія Лама тролила плакатами ZachXBT.

До теми Кібератаки російських хакерів посиляться через скорочення допомоги США: яка загроза для України

За кілька тижнів Лам купив 31 автівку – кастомні Lamborghinis, Ferraris, Porsches, окремі вартували по 3 млн доларів. 24 серпня він надіслав одній моделі фото рожевого Lamborghini: "Подарунок на день народження наперед". Вона відповіла: "Я знову в стосунках", на що отримала відповідь "idc" – мені байдуже.

10 вересня, після 23 днів вечірок у LA, Лам полетів із друзями до Маямі на приватному джеті. Там він винайняв кілька будинків, зокрема особняк за 7,5 млн доларів. За кілька днів його подвір'я заповнилось розкішними автівками. Одна з них мала напис "Malone" на боці.

Рейд і арешт

Що кілька днів ZachXBT передавав дані до правоохоронців. Інформація йшла в один бік, але феди вели власне розслідування. За судовими документами, змовники використовували просунуті методи для відмивання коштів – біржі без верифікації, VPN. Але один з них припустився помилки: реєстрував акаунт без VPN. IP-адреса вела до орендованої вілли в Енсіно, Каліфорнія. Вона була оформлена на 21-річного Жандіеля Серрано – в Com його знали як VersaceGod, @SkidStar і Box. Коли його ідентифікували, він відпочивав на Мальдівах із дівчиною.



Затримання в аеропорту / Колаж 24 Каналу та ChatGPT

18 вересня, повернувшись у Лос-Анджелес, Серрано був затриманий прямо в аеропорту – з годинником за 500 000 доларів на руці. Спершу він заперечував усе, але згодом зізнався: він видавав себе за співробітника біржі Gemini, мав п'ять автівок (дві – як подарунок від спільника) і доступ до 20 мільйонів доларів вкраденої крипти прямо зі смартфона. Він погодився повернути ці кошти ФБР.

Паралельно агенти готували рейд на одну з орендованих вілл Лама. Але Серрано попередив його: його дівчина подзвонила змовникам. Ті встигли видалити Telegram та інші докази.

Того ж дня агенти ФБР та поліція Маямі увірвались на віллу біля Miami Shores. Одні пробивали ворота, інші заходили через канал на човнах. Вибухали світлошумові гранати.

За кілька хвилин агент вивів у кайданках Лама – у білому лонгсліві, бордових шортах і кросівках. Його затримали разом ще з п'ятьма людьми. Ламу і Серрано висунули обвинувачення у відмиванні грошей і змові з метою шахрайства. За кожним пунктом – до 20 років в'язниці.

Рівно через місяць після злочину – вечірка закінчилась.

Розслідування після викрадення

Після викрадення Четалів у Данбері поліція разом із федеральними агентами почала будувати справу проти групи зі Флориди. Їм вдалося отримати доступ до телефонів підозрюваних, де виявили, що подорож частково організував і профінансував 23-річний Анхель Борреро, на прізвисько Чічі. У груповому чаті він писав: "If this go good we out to Cali next", що слідчі інтерпретували як плани продовження злочинної діяльності в Каліфорнії. Інший учасник, Свай, написав: "Chichi we are more ready than ever" (Чічі, зараз ми готові більше, ніж будь-коли).

Правоохоронці дійшли висновку, що викрадення Четалів було скоєно з метою викупу, оскільки сина родини підозрювали у володінні значною сумою грошей. Незалежні дослідники вважають, що один із нападників, Рейнальдо Діас (Пантік), міг бути членом хакерської спільноти The Com. Дослідник ZachXBT припускає, що жертви самі стали мішенню через хизування своїми статками в чатах Com.

27 серпня поліція висунула шістьом підозрюваним обвинувачення у викраденні, нападі й загрозі життю. Згодом федеральна прокуратура додала звинувачення у змові, викраденні автомобіля й інших злочинах.

Шістка зі Флориди є частиною дедалі більш радикального крила The Com – тих, хто вдається до фізичного насильства замість онлайн-шахрайства. Діаса самостійно намагалися пограбувати у Флориді два роки тому.

За словами агента ФБР, група причетна до побиттів, стрілянин і підпалів. Незалежні журналісти наводять приклади викрадень, побиттів і вимагання викупу у криптовалюті по всьому світу – від США до Франції та Канади. Деякі з груп примушують неповнолітніх до самопошкодження. Як каже дослідниця Ніксон:

Ми бачимо перехід від неорганізованої до організованої злочинності.

Криптовикрадення та захоплення заручників показали, що безкарність у віртуальному світі підштовхує злочинців до дій у реальному.

Багато хто після арешту просто повертається до старого,

– каже ZachXBT.

П'ятеро з шістьох обвинувачених зізналися у злочинах і можуть отримати по 15 років. Один із них, 19-річний Майкл Рівас, назвав свої дії дурістю. У лютому ще один підозрюваний, Джеймс Шваб, був обвинувачений у змові – він мав конфлікт із Четалом у нічному клубі та допоміг організувати напад.



Колаж 24 Каналу та ChatGPT

25 березня ZachXBT повідомив, що було заарештовано самого Віра Четала (Wiz). На фото з поліції він має виснажений вигляд. За словами ZachXBT, викрадені біткоїни нині під контролем правоохоронців. Lamborghini, на якому їхала родина в день викрадення, досі зберігається на поліцейській стоянці – це та сама машина, на якій син Четалів їздив до школи.