Tres estadounidenses fueron acusados esta semana de robar más de 400 millones de dólares en un ataque de intercambio de SIM en noviembre de 2022. El gobierno de los Estados Unidos no nombró a la organización víctima, pero todo indica que el dinero fue robado del ahora desaparecido intercambio de criptomonedas FTX, que acababa de declararse en quiebra ese mismo día.
Una acusación revelada esta semana y reportada por primera vez por Ars Technica alega que el hombre de Chicago Robert Powell, también conocido como "R", "R and" y "ElSwapo1", era el cabecilla de un grupo de intercambio de SIM llamado "Powell SIM Swapping Crew"."Residente de Colorado Emily" Em " Hernández supuestamente ayudó al grupo a obtener acceso a los dispositivos de las víctimas al servicio de los ataques de intercambio de SIM entre marzo de 2021 y abril de 2023. Residente de Indiana Carter Rohn, alias "Carti " y" Punslayer", supuestamente ayudaron a comprometer dispositivos.
En un ataque de intercambio de SIM, los delincuentes transfieren el número de teléfono del objetivo a un dispositivo que controlan, lo que les permite interceptar cualquier mensaje de texto o llamada telefónica enviada a la víctima, incluidos códigos de acceso únicos para autenticación o enlaces de restablecimiento de contraseña enviados por SMS.
La acusación formal establece que los perpetradores de este atraco robaron los USD 400 millones en criptomonedas el nov. el 11 de enero de 2022, después de que intercambiaron la tarjeta SIM de un cliente de AT&T haciéndose pasar por él en una tienda minorista con una identificación falsa. Sin embargo, el documento se refiere a la víctima en este caso solo por el nombre " Víctima 1.”
Wired's Andy Greenberg Recientemente escribió sobre la carrera nocturna de FTX para detener un robo de criptomonedas de mil millones de dólares que ocurrió la noche del 11 de noviembre:
"El personal de FTX ya había soportado uno de los peores días en la corta vida de la compañía. Lo que recientemente había sido uno de los principales intercambios de criptomonedas del mundo, valorado en $32 mil millones solo 10 meses antes, acababa de declararse en bancarrota. Los ejecutivos, después de una larga lucha, persuadieron al CEO de la compañía, Sam Bankman-Fried, para que entregara las riendas a John Ray III, un nuevo director ejecutivo que ahora tenía la tarea de guiar a la compañía a través de una pesadilla de deudas, muchas de las cuales parecía no tener medios para pagar.”
"FTX, al parecer, había tocado fondo . Hasta que alguien, un ladrón o ladrones que aún no han sido identificados, eligió ese momento en particular para empeorar las cosas. Ese viernes por la noche, los exhaustos empleados de FTX comenzaron a ver misteriosas salidas de la criptomoneda de la compañía, capturadas públicamente en el sitio web Etherscan que rastrea la cadena de bloques Ethereum, lo que representa el robo de cientos de millones de dólares en criptomonedas en tiempo real.”
La acusación dice que los $400 millones fueron robados durante varias horas entre el 11 y el 12 de noviembre de 2022. Tom Robinson, cofundador de la firma de inteligencia blockchain Elíptico, dijo que los atacantes en el atraco de FTX comenzaron a drenar las billeteras de FTX la noche de noviembre. 11, hora local de 2022, y continuará hasta el 12 de noviembre.
Robinson dijo que Elliptic no tiene conocimiento de ningún otro robo de criptomonedas de esa magnitud que ocurra en esa fecha.
"Ponemos el valor de los criptoactivos robados en USD 477 millones", dijo Robinson. "Los administradores de FTX han reportado pérdidas generales debido a" transferencias no autorizadas de terceros " de $413 millones; la discrepancia probablemente se deba a la posterior incautación y devolución de algunos de los activos robados. De cualquier manera, ciertamente supera los USD 400 millones, y no tenemos conocimiento de ningún otro robo de intercambios de cifrado a esta escala, en esta fecha.”
Los intercambiadores de tarjetas SIM presuntamente responsables del robo de criptomonedas de USD 400 millones son todos residentes de EE.UU. Pero hay algunos indicios de que contaron con la ayuda de ciberdelincuentes organizados con sede en Rusia. En octubre de 2023, Elliptic lanzó un informe eso descubrió que el dinero robado de FTX había sido lavado a través de intercambios con vínculos con grupos criminales con sede en Rusia.
"Un actor vinculado a Rusia parece una posibilidad más fuerte", escribió Elliptic. "De los activos robados que se pueden rastrear a través de ChipMixer, cantidades significativas se combinan con fondos de grupos criminales vinculados a Rusia, incluidas pandillas de ransomware y mercados de redes oscuras, antes de enviarse a intercambios. Esto apunta a la participación de un corredor u otro intermediario con un nexo en Rusia.”
Nick Bax, director de análisis de la firma de recuperación de billeteras de criptomonedas Sin cifrar, dijo que el flujo de fondos FTX robados se parece más a lo que su equipo ha visto de grupos con sede en Europa del Este y Rusia que a cualquier cosa que hayan presenciado de intercambiadores de tarjetas SIM con sede en EE.UU.
"Me sorprendió un poco este desarrollo, pero parece ser consistente con los informes de CISA [la Agencia de Seguridad de Ciberseguridad e Infraestructura] y otros de que "Scattered Spider" ha trabajado con grupos [de ransomware] como ALPHV/ BlackCat", dijo Bax.
CISA alerta sobre Araña Dispersa dice que son un grupo cibercriminal que apunta a grandes empresas y sus servicios de asistencia contratados de tecnología de la información (TI).
"Los actores dispersos de amenazas de Arañas, según terceros de confianza, generalmente se han involucrado en el robo de datos para extorsión y también se sabe que utilizan ransomware BlackCat/ALPHV junto con sus TTP's habituales", dijo CISA, refiriéndose a las Tácticas, Técnicas y Procedimientos característicos del grupo.”
A principios de esta semana, KrebsOnSecurity publicó una historia en la que señalaba que un hombre de Florida fue acusado recientemente de ser parte de una conspiración de intercambio de SIM se cree que es un miembro clave de la Araña Dispersa, un grupo de piratería también conocido como 0ktapus. Ese grupo ha sido culpado de una serie de intrusiones cibernéticas en las principales empresas de tecnología de EE.UU. durante el verano de 2022.
Las reclamaciones financieras relacionadas con los procedimientos de quiebra de FTX están siendo manejadas por el gigante de consultoría financiera y de riesgos Kroll.. En agosto de 2023, Kroll sufrió su propia violación después de que un empleado de Kroll cambiara de SIM. Según Kroll, los ladrones robaron información de los usuarios de múltiples plataformas de criptomonedas que dependen de los servicios de Kroll para manejar los procedimientos de quiebra.
KrebsOnSecurity solicitó comentarios para esta historia de Kroll, el FBI, los fiscales, y Sullivan y Cromwell, el bufete de abogados que maneja la quiebra de FTX. Esta historia se actualizará en caso de que alguno de ellos responda.
Los abogados del Sr. Powell dijeron que no saben quién es la víctima 1 en la acusación, ya que el gobierno aún no ha compartido esa información. La próxima cita judicial de Powell es una audiencia de detención en febrero. 2, 2024.