1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Arrestations dans un SIM-Swap de 400 millions de dollars Lié à un Hold-Up à FTX?

Arrestations dans un SIM-Swap de 400 millions de dollars Lié à un Hold-Up à FTX?

Trois Américains ont été accusés cette semaine d'avoir volé plus de 400 millions de dollars lors d'une attaque d'échange de cartes SIM en novembre 2022. Le gouvernement américain n'a pas nommé l'organisation victime, mais tout indique que l'argent a été volé à l'ancien échange de crypto-monnaie XLT, qui venait de déposer son bilan le même jour.

Un graphique illustrant le flux de plus de 400 millions de dollars en crypto-monnaies volés à FTX en novembre. 11-12, 2022. Image: Elliptic.co.

Un acte d'accusation descellé cette semaine et rapporté pour la première fois par Ars Technique allègue que l'homme de Chicago Robert L. Powell, alias "R", "R$" et "ElSwapo1", était le chef de file d'un groupe d'échange de cartes SIM appelé “Powell SIM Swapping Crew"."Résident du Colorado Émilie " Em " Hernandez aurait aidé le groupe à accéder aux appareils des victimes au service d'attaques par échange de cartes SIM entre mars 2021 et avril 2023. Résident de l'Indiana Carter Rohn, alias "Carti" et "Punslayer", auraient aidé à compromettre des appareils.

Dans une attaque par échange de carte SIM, les escrocs transfèrent le numéro de téléphone de la cible vers un appareil qu'ils contrôlent, ce qui leur permet d'intercepter tous les SMS ou appels téléphoniques envoyés à la victime, y compris les codes d'accès uniques pour l'authentification ou les liens de réinitialisation de mot de passe envoyés par SMS.

L'acte d'accusation indique que les auteurs de ce braquage ont volé les 400 millions de dollars en crypto-monnaies en novembre. 11, 2022 après avoir échangé par carte SIM un client AT & T en se faisant passer pour lui dans un magasin de détail en utilisant une fausse pièce d'identité. Cependant, le document se réfère à la victime dans ce cas uniquement par le nom " Victime 1.”

Chez Wired Jean-Paul Verdier récemment a écrit à propos de la course nocturne de FTX pour arrêter un vol de crypto de 1 milliard de dollars qui a eu lieu le soir du 11 novembre:

"Le personnel de FTX avait déjà vécu l'un des pires jours de la courte vie de l'entreprise. Ce qui était récemment l'un des meilleurs échanges de crypto-monnaie au monde, évalué à 32 milliards de dollars seulement 10 mois plus tôt, venait de déclarer faillite. Les dirigeants avaient, après une longue lutte, persuadé le PDG de l'entreprise, Sam Bankman-Fried, de céder les rênes à John Ray III, un nouveau directeur général désormais chargé de guider l'entreprise à travers un fourré cauchemardesque de dettes, dont beaucoup semblaient n'avoir aucun moyen de payer.”

"FTX avait, semblait-il, touché le fond. Jusqu'à ce que quelqu'un—un voleur ou des voleurs qui n'ont pas encore été identifiés-choisisse ce moment particulier pour empirer les choses. Ce vendredi soir-là, des membres du personnel épuisés de FTX ont commencé à voir de mystérieuses sorties de la crypto-monnaie de l'entreprise, capturées publiquement sur le site Web Etherscan qui suit la blockchain Ethereum, représentant des centaines de millions de dollars de crypto volés en temps réel.”

L'acte d'accusation indique que les 400 millions de dollars ont été volés pendant plusieurs heures entre le 11 et le 12 novembre 2022. Tom Robinson a écrit:, co-fondateur de la firme de renseignement blockchain Elliptique, a déclaré que les assaillants du hold-up FTX ont commencé à vider les portefeuilles FTX le soir de novembre. 11 novembre 2022, heure locale, et jusqu'au 12 novembre.

Robinson a déclaré qu'Elliptic n'était au courant d'aucun autre braquage de crypto de cette ampleur à cette date.

” Nous évaluons la valeur des cryptoactifs volés à 477 millions de dollars", a déclaré Robinson. “Les administrateurs FTX ont signalé des pertes globales dues à des "transferts non autorisés de tiers" de 413 millions de dollars – l'écart est probablement dû à la saisie ultérieure et à la restitution de certains des actifs volés. Quoi qu'il en soit, il s'agit certainement de plus de 400 millions de dollars, et nous ne sommes au courant d'aucun autre vol d'échanges cryptographiques de cette ampleur, à cette date.”

Les échangeurs de cartes SIM prétendument responsables du vol de crypto de 400 millions de dollars sont tous des résidents américains. Mais il y a des indications qu'ils ont eu l'aide de cybercriminels organisés basés en Russie. En octobre 2023, Elliptic est sorti un rapport cela a révélé que l'argent volé à FTX avait été blanchi par le biais d'échanges avec des liens avec des groupes criminels basés en Russie.

“Un acteur lié à la Russie semble une possibilité plus forte”, a écrit Elliptic. "Parmi les actifs volés qui peuvent être retracés via ChipMixer, des montants importants sont combinés avec des fonds provenant de groupes criminels liés à la Russie, y compris des gangs de ransomwares et des marchés darknet, avant d'être envoyés aux bourses “ Cela indique l'implication d'un courtier ou d'un autre intermédiaire ayant un lien en Russie.”

Nick Bax, directeur de l'analyse de la société de récupération de portefeuille de crypto-monnaie Non Chiffré, a déclaré que le flux de fonds FTX volés ressemble plus à ce que son équipe a vu de groupes basés en Europe de l'Est et en Russie qu'à tout ce dont ils ont été témoins de la part de SIM-swappers basés aux États-Unis.

“J'ai été un peu surpris par ce développement, mais il semble cohérent avec les rapports de CISA [l'Agence de cybersécurité et de sécurité des infrastructures] et d'autres selon lesquels "Scattered Spider" a travaillé avec des groupes [ransomware] comme ALPHV/ BlackCat", a déclaré Bax.

CISA alerte sur l'Araignée Dispersée dit qu'il s'agit d'un groupe de cybercriminels qui cible les grandes entreprises et leurs services d'assistance en technologie de l'information (TI) sous contrat.

"Les acteurs de la menace araignée dispersés, par des tiers de confiance, se sont généralement livrés à des vols de données à des fins d'extorsion et sont également connus pour utiliser le ransomware BlackCat/ALPHV parallèlement à leurs TTP habituels”, a déclaré CISA, se référant à la signature du groupe “Tactiques, Techniques et procédures.”

Nick Bax, postant sur Twitter/ X en novembre 2022 au sujet de ses recherches sur le braquage FTX de 400 millions de dollars.

Plus tôt cette semaine, KrebsOnSecurity a publié un article notant qu'un homme de Floride a récemment été accusé de faire partie d'un complot d'échange de cartes SIM est considéré comme un membre clé de Scattered Spider, un groupe de piratage également connu sous le nom 0ktape. Ce groupe a été blâmé pour une série de cyberintrusions dans de grandes entreprises technologiques américaines au cours de l'été 2022.

Les réclamations financières impliquant la procédure de faillite de FTX sont traitées par le géant du conseil financier et des risques Kroll. En août 2023, Kroll a subi sa propre violation après qu'un employé de Kroll ait été échangé par SIM. Selon Kroll, les voleurs ont volé des informations sur les utilisateurs de plusieurs plates-formes de crypto-monnaie qui s'appuient sur les services de Kroll pour gérer les procédures de faillite.

KrebsOnSecurity a sollicité les commentaires de Kroll, le FBI, les procureurs, et Sullivan & Cromwell, le cabinet d'avocats chargé de la faillite de FTX. Cette histoire sera mise à jour au cas où l'un d'entre eux répondrait.

Les avocats de M. Powell ont déclaré qu'ils ne savaient pas qui était la victime 1 dans l'acte d'accusation, car le gouvernement n'avait pas encore partagé cette information. La prochaine date d'audience de Powell est une audience de détention en février. 2, 2024.



>>Plus