Хакер и предполагаемый лидер группировки Scattered Spider арестован при попытке бежать из Испании. Члены хакерской группы вели в Telegram закрытый рейтинг лидеров по количеству взлома криптовалютных аккаунтов, хвастаясь украденными активами.

Источник изображения: krebsonsecurity.com

Как сообщается на сайте известного американского журналиста Брайана Кребса (Brian Krebs), занимающегося расследованиями IT-преступлений, 22-летний мужчина из Великобритании Тайлер Бьюкенен (Tyler Buchanan), также известный как «Tyler», был арестован на этой неделе в Испании. По данным властей, он является главой группы киберпреступников Scattered Spider, которая подозревается во взломе таких компаний как Twilio, LastPass, DoorDash, Mailchimp и около 130 других организаций за последние два года.

Испанская газета Murcia Today сообщает, что Бьюкенен разыскивался ФБР и был задержан в аэропорту Пальма-де-Майорки, когда пытался сесть на рейс в Италию. По данным полиции, на момент ареста он контролировал криптовалюту на сумму 27 миллионов долларов, полученную в результате взломов.

Бьюкенен считается специалистом по атакам путём подмены сим-карт. С помощью таких атак злоумышленники получают контроль над номером телефона жертвы и перехватывают одноразовые пароли и ссылки для сброса паролей, отправленные по SMS. Это позволяет им получить доступ к аккаунтам жертвы.

Scattered Spider совершила ряд громких кибератак, начав со взлома компании Twilio в 2022 году. Затем они взломали как минимум 163 клиента Twilio, включая приложение Signal и компанию Mailchimp. В результате были украдены конфиденциальные данные и криптовалюта на миллионы долларов.

Помимо этого, группировка подозревается во взломах сервиса хранения паролей LastPass, службы доставки еды DoorDash и десятков других технологических компаний. Для совершения атак они использовали фишинг по SMS и взлом учётных записей сотрудников.

Бьюкенена и других членов Scattered Spider связывают также с сообществом киберпреступников «The Com», которое известно громкими кражами криптовалюты и рейтингом таблицы лидеров этих краж в закрытых Telegram-каналах. Некоторые из участников, в том числе и Бьюкенен, подвергались физическому насилию от конкурирующих группировок. В частности, конкуренты наняли бандитов для вторжения в его дом, угрожали сжечь его, если он не отдаст ключи от своих криптовалютных кошельков. Считается, что Бьюкенен после этого нападения бежал из Соединённого Королевства.

Инженер и хакер Джо Гранд (Joe Grand) вернул владельцу доступ к его программному биткоин-кошельку спустя 10 лет после того, как тот потерял к нему пароль. Из-за ошибки в менеджере паролей RoboForm удалось взломать зашифрованный пароль и зайти в кошелёк, в котором находилось 43,6 биткоина — это около 3 млн долларов.

Источник изображения: Copilot

Как пишет Forbes, в 2013 году европеец, известный под псевдонимом Майкл, создал биткоин-кошелёк и сгенерировал для него сложный пароль с помощью менеджера паролей RoboForm. Затем он зашифровал этот пароль, используя программу TrueCrypt, но файл с зашифрованным паролём оказался повреждён, а резервной копии не было. Майкл не сохранил пароль в RoboForm, опасаясь, что кто-то может взломать его компьютер и получить доступ к его биткоинам.

Спустя 10 лет, в 2023 году, Майкл обратился за помощью к известному инженеру-электрику, изобретателю и белому хакеру Джо Гранду, также известному под псевдонимом Kingpin, который ранее успешно восстанавливал доступ к биткоин-кошелькам с утерянными паролями. Изначально Гранд отказался, так как его основная работа заключается в консультировании разработчиков, но после повторного обращения Майкла в 2023 году, он решил попробовать решить проблему вместе со своим немецким коллегой Бруно.

Хакеры выяснили, что проблема заключалась в уязвимости старой версии RoboForm, которая использовалась для генерации пароля, а компания Siber Systems, разработавшая RoboForm подтвердила, что проблема с генератором случайных чисел была исправлена только в 2015 году. Оказалось, что пароль не был полностью случайным, а был привязан к дате и времени его создания. Зная эти параметры, можно было вычислить любой пароль, сгенерированный в определённый момент в прошлом. Однако Майкл не помнил точную дату и время создания пароля.

Гранд и Бруно проанализировали логи программного кошелька Майкла, чтобы определить, когда биткоины были переведены на него. Они также изучили параметры других паролей, сгенерированных RoboForm, чтобы определить тип пароля и временной диапазон его создания. После нескольких неудачных попыток и корректировки параметров, хакеры наконец нашли верный пароль, сгенерированный 15 мая 2013 года в 16:10 по Гринвичу (19:10 мск).

После успешного взлома пароля в конце 2023 года, Майкл продал часть своих биткоинов, выплатив Гранду и Бруно их процент вознаграждения. На данный момент в кошельке Майкла из 43,6 BTC осталось 30 BTC. По данным Wired, он планирует дождаться, когда курс биткоина достигнет $100 000, прежде чем обналичит оставшуюся сумму.