У криптоинвестора украли 243 миллиона долларов. Мошенники (среди них были школьники) тратили награбленное на машины, яхты и частные самолеты. Деньги отмывали в Minecraft, а вычислил преступников детектив-любитель

В августе 2024 года неизвестные украли у криптоинвестора из Вашингтона 243 миллиона долларов. Примерно через две недели шесть человек в масках похитили вице-президента финансового конгломерата Morgan Stanley в благополучном районе города Данбери, штат Коннектикут. Эти преступления оказались связаны и вывели следователей на группу вымогателей, которые отмывали украденную криптовалюту в компьютерной игре Minecraft. «Медуза» пересказывает материал The New York Times об одном из крупнейших (и самых запутанных) расследований в США за последние годы.

Май 3, 2025 - 09:48

У криптоинвестора украли 243 миллиона долларов. Мошенники (среди них были школьники) тратили награбленное на машины, яхты и частные самолеты. Деньги отмывали в Minecraft, а вычислил преступников детектив-любитель

В августе 2024 года неизвестные украли у криптоинвестора из Вашингтона 243 миллиона долларов. Примерно через две недели шесть человек в масках похитили вице-президента финансового конгломерата Morgan Stanley в благополучном районе города Данбери, штат Коннектикут. Эти преступления оказались связаны и вывели следователей на группу вымогателей, которые отмывали украденную криптовалюту в компьютерной игре Minecraft. «Медуза» пересказывает материал The New York Times об одном из крупнейших (и самых запутанных) расследований в США за последние годы.

Мошенники вынудили жертву раскрыть личные данные, представившись сотрудниками Google и криптовалютной биржи Gemini. Раскрыть их удалось благодаря детективу-любителю

В середине августа 2024-го криптоинвестору из Вашингтона, чье имя не раскрывается, начали приходить уведомления о попытках войти в его аккаунт Google. Через несколько дней ему позвонил человек, представившийся сотрудником службы безопасности компании. Он сказал, что почту пользователя могли взломать, поэтому следует или заблокировать учетную запись, или подтвердить некоторые персональные данные. Встревоженный мужчина выбрал второй вариант: доводы звонившего показались ему убедительными. К тому же тот уже частично знал его данные.

Вскоре после этого разговора мужчине поступил второй звонок. На этот раз неизвестный назвался сотрудником службы безопасности криптовалютной биржи Gemini. Как и предыдущий звонивший, он знал некоторые персональные данные пользователя. По его словам, личный кабинет мужчины в Gemini, на котором лежали биткоины на сумму 4,5 миллиона долларов, взломали. Теперь от него требовалось пройти двухфакторную аутентификацию и перевести средства на другой кошелек.

Когда криптоинвестор выполнил все указания, звонивший предложил установить программу, которая якобы гарантирует безопасность средств на счету. Мужчина согласился. Как оказалось, он установил приложение для удаленного доступа к рабочему столу, которое предоставило другому человеку не только доступ к устройству, но и к его второму криптоаккаунту. Через несколько минут мошенники сняли с его кошельков 4100 биткоинов, что на тот момент составляло 243 миллиона долларов. Мужчина ничего не заподозрил и не заметил кражу.

Особенность операций с криптовалютой состоит в том, что хотя личные данные пользователей и не поступают в открытый доступ, однако сами транзакции проводятся публично. Это значит, что любой может их увидеть. Благодаря этому в сети появились «криптоищейки» — детективы-любители, которые отслеживают подозрительные транзакции и пытаются расследовать криптомошенничество.

Деньги воруют и сами создатели криптоплатформ

В ЮАР двое братьев 17 и 20 лет пропали вместе с 69 тысячами биткоинов (больше двух миллиардов долларов). Кажется, это крупнейшая криптоафера в мире

Один из таких детективов, независимый расследователь под псевдонимом называет ZachXBT «самым результативным в мире» детективом, специализирующимся на преступлениях с криптовалютой.">ZachXBT, чье настоящее имя неизвестно, почти сразу обратил внимание на несколько крупных транзакций. Биткоины выводились по частям — начиная с относительно небольшой суммы и заканчивая двумя миллионами долларов. ZachXBT отследил выведенные деньги до кошелька, на котором изначально лежало около 240 миллионов. Часть биткоинов на счету были приобретены еще в 2012 году. Всего за один день средства со счета жертвы были выведены через 15 разных сервисов.

«В этом не было никакого смысла, — объяснил ZachXBT автору NYT Митчу Моксли. — Зачем человеку, который так долго держал биткоины, использовать для вывода подозрительный сервис, через который часто проходят незаконные средства? <…> Кто-то, у кого так много денег, не просыпается однажды с мыслью: „А не вывести ли мне деньги через множество обменников?“ Люди просто так не делают».

ZachXBT связался еще с несколькими расследователями. Вместе они поделились своими подозрениями с сервисами обмена криптовалют и попросили заморозить подозрительные операции. Некоторые сервисы согласились с доводами «криптоищеек». Другие отказались замораживать переводы. «Они пробуют много разных сервисов, чтобы понять, где у них получится, — объяснил логику мошенников ZachXBT. — Им нужно отмыть 240 миллионов долларов. Это большая сумма».

Установив личность жертвы по своим каналам, ZachXBT рассказал криптоинвестору, что происходит с его деньгами. Растерянный мужчина нанял нескольких частных детективов, включая ZachXBT, для поиска мошенников. Также он подал заявление в полицию и обратился в отделение ФБР по расследованию интернет-преступлений.

По информации NYT, кража криптовалюты за последние годы достигла таких масштабов, что правительственным ведомствам в США становится тяжело расследовать такие преступления своими силами. В 2023 году в ФБР поступило 69 тысяч заявлений о финансовых мошенничествах с криптовалютой. Предположительно, в общей сложности это привело к потерям на сумму 5,6 миллиарда долларов. По сравнению с 2022 годом этот показатель вырос на 45%.

Возвращать украденные средства тяжело из-за разрозненности сервисов, занимающихся обработкой криптовалюты, невозможности отменить транзакцию и того, насколько просто переводить криптовалюту по всему миру. Федеральным агентствам часто приходится привлекать дополнительные ресурсы — в частности, сотрудничать с «криптоищейками». Те внедряются в сообщества в Telegram, Discord и на других платформах, где общаются киберпреступники. Расследователи рассказывают, что такие мошенники часто молоды и любят хвастаться своими успехами.

ZachXBT сообщил о деталях крупной аферы в соцсети X, где у него примерно 850 тысяч подписчиков. Вскоре с ним связался анонимный информатор, готовый поделиться сведениями о личности предполагаемых мошенников. Источник прислал расследователю запись онлайн-трансляции преступления, которую один из злоумышленников вел для друзей. Среди прочего в видео, длившееся полтора часа, попал и один из телефонных звонков жертве. Когда мошенники поняли, что успешно вывели с чужого счета 243 миллиона долларов, один из них закричал от радости.

На протяжении трансляции преступники пользовались псевдонимами. Однако один из них допустил ошибку — показал домашний экран своего компьютера, где при запуске пускового меню высветилось его настоящее имя — Вир Четал. Подозреваемым оказался 18-летний выпускник старшей школы в городе Данбери, штат Коннектикут, который собирался продолжить учебу в Ратгерском университете в Нью-Джерси.

Одноклассники заметили, что Четал резко разбогател в выпускном классе. Подросток начал ездить на дорогих машинах и устраивать роскошные вечеринки

Одноклассники описывали Вира Четала как застенчивого парня, который увлекался машинами. Поведение подростка резко изменилось в середине выпускного класса, когда он начал приезжать в школу на спортивном автомобиле Chevrolet Corvette. Вскоре после этого Четал появился на школьной парковке за рулем BMW, а затем — Lamborghini Urus. Одноклассники вспоминают, что изменился и стиль подростка: он начал носить рубашки Louis Vuitton и туфли Gucci. В день прогульщика, когда большинство учеников пошли в ближайший торговый центр, Четал с несколькими друзьями отправился в Нью-Йорк, где устроил вечеринку на арендованной им яхте. Одноклассникам он рассказал, что зарабатывает на торговле криптовалютой.

Независимым расследователям удалось выяснить, что Четал состоял в сети онлайн-чатов, которая неофициально называется Community («Сообщество»), или просто Com, и объединяет киберпреступников из разных сфер. По словам агентов ФБР и специалистов по киберпреступности, в основном участники Com занимаются сваттингом, мошенничеством с захватом сим-карты, установкой программ-вымогателей и кражей криптовалюты. Общаются между собой они через Telegram или Discord. Эксперт по кибербезопасности Эллисон Никсон рассказала NYT, что большая часть таких преступников — образованные молодые люди из западных стран.

Как геймер украл криптовалюту с помощью захвата сим-карты

В США подростки украли у бизнесмена криптовалюту на 24 миллиона долларов по схеме с подменой сим-карты Это крупнейшая из тысяч подобных афер в стране, но даже здесь суд встал на сторону сотового оператора

В середине 2010-х одним из самых популярных направлений деятельности киберпреступников стало мошенничество с продажей платных предметов в компьютерной игре Minecraft. Эксперты объясняют, что в тот период игровые серверы начали предоставлять геймерам возможность купить себе улучшение: способность летать, более мощное оружие, лучшую броню или необычный облик для персонажа. Вскоре после этого в Discord появился черный рынок таких товаров. Среди прочего там продавались «красивые» никнеймы для игроков — например, OK, YOLO или G.

Мошенники пользовались популярностью таких улучшений и предлагали пользователям купить ценные предметы или способности в игре, но после того, как им переводили деньги через платежную систему PayPal, блокировали покупателя. Со временем участники Com перешли с PayPal на криптовалюту. По словам автора NYT Митча Моксли, все это превратило серверы Minecraft в «выгребную яму для киберпреступников». А после того как цена биткоина подскочила в 2017-м, участники Com переключились с обмана геймеров на кражу криптовалюты.

«Участники этих антисоциальных сообществ в один момент превратились в миллионеров, — рассказывает эксперт по кибербезопасности Эллисон Никсон. — Они начали продвигать эту культуру. Люди замечают, когда другие легко становятся миллионерами, и хотят научиться богатеть. Из-за этого Com резко расширилась».

Теперь участники Com используют Minecraft для отмывания денег. Они выводят криптовалюту с кошелька жертвы, покупают ценные игровые предметы и продают их за реальные доллары через PayPal.

Почему игра Minecraft так популярна

10 лет назад Microsoft купила Minecraft — одну из самых популярных игр в мире В ней можно построить что угодно, а еще — делать то, что невозможно в реальности (например, провести митинг у памятника Жириновскому)

Виновность подозреваемых косвенно подтвердили их огромные траты. Теперь двум участникам аферы грозят крупные сроки

Идентифицировав на записи Вира Четала, ZachXBT и его коллеги довольно быстро установили личности остальных участников преступления. В видео мошенники несколько раз называли друг друга по имени. Чаще всех звучало имя Мэлоун. Оно вывело расследователей на 20-летнего Мэлоуна Лэма из Сингапура, известного участника Com. В 2023 году, поссорившись с администрацией сервера Minecraft из-за нарушения правил и лишившись платных предметов, он выложил в сеть личные данные тех, с кем был не согласен, и как минимум в одном случае направил по ложному вызову экстренные службы. Именно в Minectaft Четал познакомился с Лэмом. В октябре позапрошлого года Лэм приехал в США по 90-дневной визе. По данным следствия, уже тогда он в основном зарабатывал на жизнь мошенничеством с криптовалютой.

В августе 2024-го ZachXBT отследил Лэма по активности в чатах Com и узнал, что тот снова находится в Штатах. За несколько недель он купил 31 автомобиль, включая кастомизированные Lamborghini, Ferrari и Porsche. Стоимость некоторых машин доходила до трех миллионов долларов. Вторую половину августа Лэм провел в Лос-Анджелесе, где постоянно ходил по ночным клубам. В одном видео, выложенном в соцсетях, он встает на стол и закидывает толпу купюрами по 100 долларов. В сентябре Лэм с друзьями прилетел в Майами на частном самолете. Там он арендовал несколько домов, включая один стоимостью 7,5 миллиона долларов, и купил еще несколько машин. Все это косвенно подтверждало, что он был одним из участников аферы.

Осенью 2024-го следователям удалось выяснить личность еще одного преступника — им оказался 21-летний Жандиэль Серрано. Поймать его удалось из-за невнимательности: Серрано не воспользовался VPN, чтобы замаскировать свой IP-адрес, когда регистрировался на обменном сервисе для вывода украденных денег. В сентябре полиция задержала Серрано в аэропорту, когда он вернулся из отпуска на Мальдивах. В момент ареста на нем были часы стоимостью 500 тысяч долларов.

Поначалу Серрано отрицал, что ему что-либо известно о краже, но согласился пообщаться со следователями без адвоката. Вскоре он признался, что звонил жертве и притворялся сотрудником Gemini. Позже молодой человек рассказал, что ему принадлежит пять автомобилей, два из которых подарили его сообщники на деньги от предыдущей аферы. У него на счету оказалось примерно 20 миллионов долларов из 243 похищенных у жертвы из Вашингтона. Серрано согласился перевести их ФБР.

Вскоре после ареста Серрано следователи ворвались в дом, арендованный Лэмом в Майами, чтобы провести обыск и допросить предполагаемого мошенника. Самого Лэма задержали. Ему и Серрано предъявили обвинения в отмывании денег и заговоре с целью мошенничества. Начало суда по их делу запланировано на октябрь 2025-го. Им грозит заключение на срок до 20 лет по каждому пункту обвинения.

Иногда похищенные средства возвращают

Хакеры украли 600 миллионов долларов в ходе одного из крупнейших ограблений на рынке криптовалют. А затем заявили, что «готовы вернуть средства»

В последние годы участники Com начали совершать жестокие преступления. Они похищают людей ради выкупа и участвуют в перестрелках

Еще до задержания Лэма и Серрано, в конце августа 2024-го в городе Данбери группа из шести мужчин в масках перегородила дорогу Lamborghini Urus, в котором ехали Сушил и Радхика Четал — родители Вира Четала, предполагаемого соучастника криптоаферы. Супругов вытащили из машины и затолкали в фургон. Когда Сушил попытался оказать сопротивление, его ударили бейсбольной битой и пригрозили убийством. Лицо мужчины замотали скотчем. Радхику заставили лечь лицом в пол, хотя она сказала, что у нее астма и что ей трудно дышать.

Нападение на Четалов видели несколько прохожих. Один из них, бывший агент ФБР, какое-то время ехал вслед за фургоном и следил за его перемещениями. Параллельно он позвонил в полицию и сообщил номера машины. После этого патрульные быстро установили местонахождение фургона. Тот пытался оторваться от полицейских, но потерял управление и встал. Четалов освободили, а шестерых похитителей задержали.

Полицейским удалось установить, что все преступники приехали из Майами, а фургон арендовали. Самому старшему из них было 26, а самому младшему — 18. Однако мотивы преступников оставались неизвестны. Самым простым объяснением были деньги — особенно с учетом того, что Сушил Четал занимал должность вице-президента финансового конгломерата Morgan Stanley. Однако в таком случае оставалось непонятно, почему похитители бросили дорогую машину жертв.

В сентябре полиции Данбери совместно с федеральными ведомствами удалось связать нападение на Четалов с похищением 243 миллионов долларов. Оказалось, что как минимум один из похитителей, некий Рейналдо Диас, состоял в Com и знал о деньгах, которые в ходе аферы получил сын Четалов. Диас и его соучастники рассчитывали похитить родителей Вира, чтобы вынудить того отдать украденные у криптоинвестора деньги в качестве выкупа. По мнению ZachXBT, аферисты сами сделали себя целями, когда начали неразборчиво тратить огромные суммы и рассказывать об этом в чатах Com. «Кажется логичным, что если ты совершил преступление, то лучше заткнуться и не высовываться, — сказал расследователь. — Но им нужно было показать себя крутыми и самоутвердиться перед друзьями. Или перед теми, кого они считали друзьями».

В сентябре 2024 года участников нападения на Четалов обвинили в похищении, угоне автомобиля и преступном сговоре. Спустя несколько месяцев пятеро из шести задержанных признали себя виновными. Им грозит до 15 лет тюрьмы. Один из похитителей, 19-летний Майкл Ривас, извинился за свои действия и назвал их глупыми.

В феврале 2025 года по подозрению в соучастии в том же преступлении арестовали 22-летнего Джеймса Шваба из Джорджии. По версии следствия, Шваб встретился с Виром Четалом в ночном клубе в Майами, после чего помог спланировать нападение на родителей Четала. Сам Шваб отказался признавать свою вину. А в марте 2025 года ZachXBT сообщил своим подписчикам, что полицейские задержали самого Вира Четала — вероятно, за соучастие в краже 243 миллионов долларов у криптоинвестора.

Эксперты по киберпреступлениям рассказывают, что нападение на родителей Четала — лишь один пример того, как участники Com ради денег совершают все более жестокие преступления. По данным ФБР, к которым получил доступ автор NYT, они регулярно участвуют в перестрелках. В 2022 году киберпреступники похитили молодого человека, чье имя не раскрывается, и потребовали за него 200 тысяч долларов выкупа. Такие случаи далеко не единичны.

Эксперт по кибербезопасности Эллисон Никсон отмечает, что жертвами нападений и похищений все чаще становятся люди, напрямую не связанные с киберпреступностью. По словам Никсон, если семь лет назад беспокоиться следовало из-за нескольких десятков участников Com, то теперь таких тысячи. «Мы видим, как обычная преступность переходит в организованную», — отметила эксперт. Автор NYT Митч Моксли предполагает, что абсолютная безнаказанность в сети убедила киберпреступников в том, что они могут действовать похожим образом и в реальности.

«Не думаю, что они чему-то учатся, — сказал про участников Com ZachXBT. — Многих из них арестовывают, но они все равно возвращаются к тому, чем занимались раньше».