Tres estadounidenses fueron acusados ​​esta semana de robar más de 400 millones de dólares en un ataque de intercambio de SIM en noviembre de 2022. El gobierno de EE. UU. no nombró a la organización víctima, pero todo indica que el dinero fue robado del ahora desaparecido intercambio de criptomonedas FTX, que acababa de declararse en quiebra ese mismo día. Un gráfico que ilustra el flujo de más de 400 millones de dólares en criptomonedas robadas de FTX del 11 al 12 de noviembre de 2022. Imagen: Elliptic.co. Una acusación formal revelada esta semana y de la que Ars Technica informó por primera vez alega que Robert Powell, un hombre de Chicago, también conocido como “R”, “R$” y “ElSwapo1”, era el cabecilla de un grupo de intercambio de SIM llamado “Powell SIM Swapping Crew”. » Emily “Em” Hernandez, residente de Colorado, supuestamente ayudó al grupo a obtener acceso a los dispositivos de las víctimas al servicio de ataques de intercambio de SIM entre marzo de 2021 y abril de 2023. Carter Rohn, residente de Indiana, también conocido como “Carti” y “Punslayer”, supuestamente ayudó a comprometer los dispositivos. . En un ataque de intercambio de SIM, los delincuentes transfieren el número de teléfono del objetivo a un dispositivo que controlan, lo que les permite interceptar cualquier mensaje de texto o llamada telefónica enviada a la víctima, incluidos códigos de acceso de un solo uso para autenticación o enlaces de restablecimiento de contraseña enviados por SMS. La acusación afirma que los autores de este atraco robaron los 400 millones de dólares en criptomonedas el 11 de noviembre de 2022 después de que intercambiaron la tarjeta SIM de un cliente de AT&T haciéndose pasar por ellos en una tienda minorista utilizando una identificación falsa. Sin embargo, el documento se refiere a la víctima en este caso únicamente con el nombre “Víctima 1”. Andy Greenberg, de Wired, escribió recientemente sobre la carrera nocturna de FTX para detener un robo de criptomonedas de mil millones de dólares que ocurrió la noche del 11 de noviembre: “El personal de FTX ya había soportado uno de los peores días en la corta vida de la compañía. Lo que recientemente había sido uno de los principales intercambios de criptomonedas del mundo, valorado en 32 mil millones de dólares sólo 10 meses antes, acababa de declararse en quiebra. Después de una larga lucha, los ejecutivos habían persuadido al director ejecutivo de la empresa, Sam Bankman-Fried, para que entregara las riendas a John Ray III, un nuevo director ejecutivo ahora encargado de guiar a la empresa a través de una maraña de deudas de pesadilla, muchas de las cuales parecían no tener medios para pagar”. “Parecía que FTX había tocado fondo. Hasta que alguien (un ladrón o ladrones que aún no han sido identificados) eligió ese momento en particular para empeorar las cosas. Ese viernes por la noche, el exhausto personal de FTX comenzó a ver misteriosas salidas de la criptomoneda de la compañía, capturadas públicamente en el sitio web Etherscan que rastrea la cadena de bloques Ethereum, lo que representa el robo de cientos de millones de dólares en criptomonedas en tiempo real”. La acusación dice que los 400 millones de dólares fueron robados durante varias horas entre el 11 y el 12 de noviembre de 2022. Tom Robinson, cofundador de la firma de inteligencia blockchain Elliptic, dijo que los atacantes en el atraco a FTX comenzaron a vaciar las billeteras de FTX en la noche del 1 de noviembre. 11 de noviembre de 2022, hora local, y continuará hasta el 12 de noviembre. Robinson dijo que Elliptic no tiene conocimiento de ningún otro robo de criptomonedas de esa magnitud que haya ocurrido en esa fecha. «Calculamos el valor de los criptoactivos robados en 477 millones de dólares», dijo Robinson. “Los administradores de FTX han informado de pérdidas totales debido a “transferencias no autorizadas a terceros” de 413 millones de dólares; la discrepancia probablemente se deba a la posterior incautación y devolución de algunos de los activos robados. De cualquier manera, ciertamente son más de $400 millones, y no tenemos conocimiento de ningún otro robo de intercambios de cifrado a esta escala, en esta fecha». Los intercambiadores de SIM presuntamente responsables del robo de criptomonedas de 400 millones de dólares son todos residentes de EE. UU. Pero hay algunos indicios de que recibieron ayuda de ciberdelincuentes organizados con sede en Rusia. En octubre de 2023, Elliptic publicó un informe que encontró que el dinero robado de FTX había sido lavado a través de intercambios con vínculos con grupos criminales con sede en Rusia. «Un actor vinculado a Rusia parece una posibilidad más fuerte», escribió Elliptic. “De los activos robados que se pueden rastrear a través de ChipMixer, cantidades significativas se combinan con fondos de grupos criminales vinculados a Rusia, incluidas bandas de ransomware y mercados de la red oscura, antes de enviarlos a los intercambios. Esto apunta a la participación de un corredor u otro intermediario con un nexo en Rusia”. Nick Bax, director de análisis de la firma de recuperación de billeteras de criptomonedas Unciphered, dijo que el flujo de fondos FTX robados se parece más a lo que su equipo ha visto en grupos con sede en Europa del Este y Rusia que a cualquier cosa que hayan presenciado en intercambiadores de SIM con sede en EE. UU. . «Me sorprendió un poco este desarrollo, pero parece ser consistente con los informes de CISA. [the Cybersecurity and Infrastructure Security Agency] y otros con los que ha trabajado “Scattered Spider” [ransomware] grupos como ALPHV/BlackCat”, dijo Bax. La alerta de CISA sobre Scattered Spider dice que son un grupo cibercriminal que apunta a grandes empresas y sus servicios de asistencia técnica de tecnología de la información (TI) contratados. «Los actores de la amenaza Scattered Spider, según terceros de confianza, normalmente se han involucrado en el robo de datos con fines de extorsión y también se sabe que utilizan el ransomware BlackCat/ALPHV junto con sus TTP habituales», dijo CISA, refiriéndose a las «Tácticas, técnicas y procedimientos» característicos del grupo. .” Nick Bax, publicando en Twitter/X en noviembre de 2022 sobre su investigación sobre el atraco de FTX de 400 millones de dólares. A principios de esta semana, KrebsOnSecurity publicó una historia que señala que se cree que un hombre de Florida acusado recientemente de ser parte de una conspiración de intercambio de SIM es un miembro clave de Scattered Spider, un grupo de piratería también conocido como 0ktapus. Se ha culpado a ese grupo de una serie de intrusiones cibernéticas en importantes empresas tecnológicas estadounidenses durante el verano de 2022. Las reclamaciones financieras relacionadas con los procedimientos de quiebra de FTX están a cargo del gigante de consultoría financiera y de riesgos Kroll. En agosto de 2023, Kroll sufrió su propia infracción después de que le cambiaran la SIM a un empleado de Kroll. Según Kroll, los ladrones robaron información de los usuarios de múltiples plataformas de criptomonedas que dependen de los servicios de Kroll para manejar los procedimientos de quiebra. KrebsOnSecurity buscó comentarios para esta historia de Kroll, el FBI, los fiscales y Sullivan & Cromwell, el bufete de abogados que maneja la quiebra de FTX. Esta historia se actualizará en caso de que alguno de ellos responda. Los abogados del Sr. Powell dijeron que no saben quién es la Víctima 1 en la acusación, ya que el gobierno aún no ha compartido esa información. La próxima cita de Powell en la corte es una audiencia de detención el 2 de febrero de 2024. URL de la publicación original: https://krebsonsecurity.com/2024/02/arrests-in-400m-sim-swap-tied-to-heist-at-ftx /Categoría y etiquetas: Un poco de sol, violaciones de datos, noticias que no le van bien, intercambio de SIM, 0ktapus, ransomware ALPHV, Ars Technica, ransomware BlackCat, Carter Rohn, CISA, Elliptic, Emily Hernandez, FBI, FTX, Kroll ,Nick Bax,Powell SIM Swapping Crew,R$,Robert Powell,Scattered Spider,Intercambio de SIM,Tom Robinson,Unciphered – A Little Sunshine,Violaciones de datos,Ne’er-Do-Well News,SIM Swapping,0ktapus,ALPHV ransomware, Ars Technica,BlackCat ransomware,Carter Rohn,CISA,Elliptic,Emily Hernandez,fbi,FTX,Kroll,Nick Bax,Powell SIM Swapping Crew,R$,Robert Powell,Scattered Spider,SIM swapping,Tom Robinson,Unciphered

Source link