Amerika Syarikat hari ini mendedahkan sekatan dan dakwaan terhadap dakwaan pemilik Joker’s Stash , sebuah kedai jenayah siber yang kini tidak berfungsi lagi yang menjaja berpuluh juta kad pembayaran yang dicuri dalam beberapa pelanggaran data terbesar sedekad lalu. Kerajaan juga mendakwa dan menyetujui penjenayah siber terkemuka Rusia yang dikenali sebagai Taleon , yang pertukaran mata wang kriptonya Cryptex telah berkembang menjadi salah satu rangkaian pengubahan wang haram Rusia yang paling aktif.
Tangkapan skrin 2016 halaman utama Joker’s Stash. Pautan telah disunting.
Jabatan Kehakiman (DOJ) AS hari ini membuka surat dakwaan terhadap seorang lelaki berusia 38 tahun dari Novosibirsk, Rusia kerana didakwa mengendalikan Joker’s Stash, sebuah kedai kad yang sangat berjaya yang datang dalam talian pada akhir 2014 . Kad yang dijual Joker dicuri secara berterusan di peruncit AS, termasuk Saks Fifth Avenue, Lord and Taylor , Bebe Stores , Hilton Hotels , Jason’s Deli , Whole Foods , Chipotle , Wawa , Sonic Drive-In , rangkaian pasar raya Hy-Vee , Buca Di Beppo dan Dickey’s BBQ .
Kerajaan percaya otak di sebalik Joker’s Stash ialah Timur Kamilevich Shakhmametov , individu yang disenaraikan dalam dokumen pemerbadanan Rusia sebagai pemilik Arpa Plus , sebuah syarikat Novosibirsk yang membuat permainan mudah alih.
Pada awal kerjayanya (sekitar 2000) Shakhmametov dikenali sebagai “ v1pee ” dan merupakan pengasas kumpulan penggodam Rusia nerf[.]ru , yang menerbitkan alat penggodaman dan eksploitasi secara berkala untuk kelemahan perisian.
Kumpulan penggodam Rusia Nerf seperti yang diterangkan dalam artikel Mac 2006 dalam majalah penggodam Rusia xakep.ru.
Menjelang tahun 2004, v1pee telah menerima pakai moniker ” Vega ” pada forum penggodaman bahasa Rusia eksklusif Mazafaka , di mana pengguna ini menjadi salah satu vendor kad pembayaran yang dicuri yang lebih dipercayai.
Pada tahun-tahun berikutnya, Vega akan mengukuhkan reputasinya sebagai carder terbaik di forum lain, termasuk Disahkan , DirectConnection dan Carder[.]pro .
Vega juga dikenali sebagai seseorang yang mempunyai landasan dalaman mengenai ” pengeluaran tunai tanpa had ,” skim jenayah siber yang diselaraskan secara global di mana penjahat menggodam bank atau pemproses kad pembayaran dan menggunakan kad klon di mesin tunai untuk mengeluarkan berjuta-juta dolar dengan pantas dalam beberapa jam sahaja .
“Hai, ada kerja pada d+p, tanpa had,” tulis Vega dalam mesej peribadi kepada pengguna lain di Disahkan pada Dis. 2012, merujuk kepada “buangan dan PIN,” istilah slanga untuk kad debit curi dengan PIN sepadan yang akan membenarkan pengeluaran ATM.
Kumpulan kira-kira lima juta kad ini yang dijual pada 26 September 2017 di tapak kad Joker’s Stash yang kini tidak berfungsi lagi telah terikat dengan pelanggaran di Sonic Drive-In.
Joker’s Stash muncul dalam talian berikutan beberapa pelanggaran kad yang besar di peruncit seperti Target dan Home Depot , dan kelebihan inventori yang terhasil telah menurunkan harga untuk kad yang dicuri. Tetapi Joker’s akan membezakan dirinya dengan melayan pelanggan tinggi – pada asasnya kumpulan jalanan di Amerika Syarikat yang akan membeli beribu-ribu kad pembayaran yang dicuri sekali gus.
Berdepan dengan pasaran pembeli, Joker’s Stash membezakan diri mereka dengan memfokuskan pada program kesetiaan, diskaun pembeli kerap, jaminan wang dikembalikan dan perkhidmatan pelanggan yang baik. Pembelanja besar diberi akses kepada kad pembayaran yang paling baru digodam, dan ditawarkan keupayaan untuk mendapatkan kad gantian percuma jika ada yang ternyata tidak berguna.
Joker’s Stash juga unik kerana ia mendakwa hanya menjual kad pembayaran yang telah dicuri oleh penggodamnya sendiri secara langsung daripada peniaga. Pada masa itu, kedai kad biasanya menjual semula kad pembayaran yang telah dicuri dan dibekalkan oleh banyak penggodam pihak ketiga yang tidak diketahui kebolehpercayaannya atau reputasinya.
Pada Januari 2021, Joker’s Stash mengumumkan bahawa ia akan menutup kedai , selepas pihak berkuasa Eropah merampas beberapa pelayan untuk kedai penipuan itu, dan pemiliknya menghidap Coronavirus.
Kenyataan DOJ memuji Perkhidmatan Rahsia AS kerana mengetuai penyiasatan selama bertahun-tahun (mandat asal Perkhidmatan itu tidak melindungi presiden; ia mengejar pemalsu, dan tukang kad zaman moden pasti layak seperti itu). Pendakwa raya mendakwa Joker’s Stash memperoleh pendapatan sekurang-kurangnya $280 juta, tetapi mungkin lebih daripada $1 bilion (julat luas adalah akibat daripada beberapa pembolehubah, termasuk turun naik pesat dalam harga bitcoin dan barangan curi yang mereka jual).
TALEON
Pemilik Joker’s Stash mungkin telah menjual berpuluh-puluh juta kad pembayaran yang dicuri , tetapi Taleon adalah yang paling besar dalam tindakan penguatkuasaan undang-undang ini kerana pelbagai mata wang kripto dan pertukaran wang tunainya didakwa telah membantu memindahkan berbilion-bilion dolar ke dalam dan keluar dari Rusia. 20 tahun yang lalu.
Dakwaan yang dibongkar hari ini menamakan Taleon sebagai Sergey Sergeevich Ivanov , 44, dari Saint Petersburg, Rusia. Kerajaan berkata Ivanov, yang mungkin menukar nama keluarganya daripada Omelnitskii pada satu ketika, mencuci wang untuk Joker’s Stash, di antara banyak kedai jenayah siber lain.
Dalam satu kenyataan hari ini, Jabatan Perbendaharaan berkata Ivanov telah mencuci mata wang maya bernilai ratusan juta dolar untuk pelakon perisian tebusan, broker akses awal, vendor pasaran darknet dan penjenayah lain selama lebih kurang 20 tahun yang lalu.
Mula-mula muncul di Mazafaka pada awal 2000-an, Taleon dikenali di forum sebagai seseorang yang boleh mengalihkan sejumlah besar wang tunai fizikal dengan pasti. Sumber yang biasa dengan siasatan itu berkata perkhidmatan Taleon muncul sebagai salah satu daripada beberapa perkhidmatan penghantaran tunai domestik yang masih beroperasi selepas Rusia menyerang Ukraine pada Februari 2022.
Taleon menubuhkan perkhidmatannya untuk memudahkan pemindahan antara Moscow, St. Petersburg dan institusi kewangan di Barat. Mesej peribadi Taleon di beberapa forum penggodam telah dibocorkan selama bertahun-tahun dan diindeks oleh platform perisikan siber Intel 471 . Mesej tersebut menunjukkan Taleon bekerja pada banyak wang tunai ATM yang sama seperti Vegas, jadi jelas kedua-duanya mempunyai hubungan perniagaan yang mantap sebelum Joker’s Stash wujud.
Pada sekitar tahun 2013, Taleon melancarkan perkongsian dengan perniagaan pemindahan wang yang dipanggil pm2btc[.]me . PM2BTC membenarkan pelanggan menukar dana daripada mata wang maya Perfect Money (PM) kepada bitcoin, dan kemudian mempunyai baki (tolak yuran pemprosesan) tersedia pada kad debit fizikal yang boleh digunakan di ATM, untuk membeli-belah dalam talian atau di kedai runcit .
Tangkapan skrin tapak web yang menyemak PM2BTC.
Kerajaan AS sendiri menetapkan perkara untuk perniagaan pertukaran mata wang kripto Taleon yang baru muncul pada 2013 selepas DOJ mengenakan caj pengubahan wang haram terhadap pemilik Liberty Reserve , salah satu mata wang maya terbesar yang beroperasi pada masa itu. Liberty Reserve banyak digunakan oleh semua penjenayah siber . Kerajaan berkata perkhidmatan itu mempunyai lebih daripada sejuta pengguna di seluruh dunia, dan melakukan pencucian wang melebihi $6 bilion dalam hasil yang disyaki jenayah.
Pada hari-hari selepas penyingkiran Liberty Reserve, KrebsOnSecurity menyiarkan cerita yang meneliti perbincangan merentasi pelbagai forum jenayah siber terkemuka Rusia tentang tempat penjahat boleh berasa selamat meletakkan dana yang dicuri. Jawapannya melibatkan Bitcoin, tetapi juga perkhidmatan baharu Taleon.
UAPS
Sebahagian daripada rayuan pertukaran Taleon ialah ia memberikan pelanggannya yang disemak ” antara muka pengaturcaraan aplikasi ” atau API yang memudahkan kedai dalam talian cerdik yang menjual barangan curi dan perkhidmatan jenayah siber untuk menerima deposit mata wang kripto daripada pelanggan mereka, dan untuk menguruskan pembayaran kepada mana-mana pembekal dan sekutu.
API ini sinonim dengan perkhidmatan Taleon dan rakan beroperasi di latar belakang yang dipanggil UAPS , singkatan untuk ” Sistem Pembayaran Tanpa Nama Sejagat .” UAPS telah menggunakan beberapa nama lain termasuk “ Pinpays ,” dan pada Oktober 2014 ia mendaratkan Joker’s Stash sebagai pelanggan besar pertamanya.
Sumber yang mempunyai pengetahuan tentang penyiasatan memberitahu KrebsOnSecurity bahawa Taleon ialah seorang juruterbang yang memiliki dan terbang di sekitar dengan helikopternya sendiri.
Ivanov nampaknya mempunyai sedikit atau tiada kehadiran media sosial, tetapi wanita berusia 40 tahun yang tinggal bersamanya di St. Petersburg, dan dia mempunyai foto di halaman Vktontakenya yang menunjukkan mereka berdua pada 2019 terbang di atas Tasik Ladoga, sebuah badan air yang besar terus ke utara St. Petersburg.
Sergey “Taleon” Ivanov (kanan) pada 2019 dalam helikopternya bersama wanita yang tinggal bersamanya, terbang di atas tasik di utara St. Petersburg, Rusia.
KELAB BRIANS
Pada penghujung 2015, pesaing utama Joker’s Stash muncul menggunakan UAPS untuk pembayaran belakangnya: BriansClub. BriansClub memburukkan nama pengarang ini, foto dan reputasi untuk menjaja berjuta-juta kad kredit dan debit yang dicuri daripada peniaga di Amerika Syarikat dan di seluruh dunia.
Iklan untuk BriansClub telah menggunakan nama dan rupa saya selama bertahun-tahun untuk menjaja berjuta-juta kad kredit yang dicuri.
Pada 2019, seseorang menggodam BriansClub dan membebaskan kedai penipuan lebih daripada 26 juta kad pembayaran yang dicuri — dianggarkan satu pertiga daripada 87 juta akaun kad pembayaran yang dijual di semua kedai bawah tanah pada masa itu. Sumber tanpa nama berkongsi data kad itu dengan KrebsOnSecurity, yang akhirnya berkongsinya dengan konsortium institusi kewangan yang mengeluarkan kebanyakan kad.
Selepas kejadian itu, pentadbir BriansClub menukar halaman log masuk tapak supaya ia memaparkan salinan bil telefon saya, kad Keselamatan Sosial dan pautan kepada laporan kredit penuh saya [hingga hari ini, penjenayah siber rawak mengelirukan Yours Truly dengan pemilik BriansClub ].
Alex Holden ialah pengasas firma keselamatan siber yang berpangkalan di Milwaukee, Hold Security . Holden telah lama mengekalkan keterlihatan ke dalam transaksi mata wang kripto yang dibuat oleh BriansClub.
Holden berkata rekod tersebut menunjukkan BriansClub menjual kad kredit curi bernilai puluhan ribu dolar setiap hari, dan dalam dua tahun lepas sahaja pentadbir BriansClub telah mengeluarkan lebih daripada $242 juta hasil mata wang kripto daripada platform UAPS .
Halaman log masuk BriansClub, seperti yang kelihatan dari akhir 2019 hingga baru-baru ini.
Rekod sistem nama domain pasif (DNS) menunjukkan bahawa pada awalnya BriansClub berkongsi pelayan di Lithuania bersama-sama dengan hanya segelintir domain lain, termasuk secure.pinpays[.]com , forum jenayah Disahkan dan banyak kedai kad yang beroperasi. di bawah sepanduk Rescator .
Seperti yang diperincikan oleh KrebsOnSecurity pada Disember 2023 , kedai Rescator terlibat secara langsung dalam beberapa pelanggaran kad pembayaran terbesar dalam dekad yang lalu. Ini termasuk pelanggaran 2013 di Sasaran dan pelanggaran 2014 di Home Depot , pencerobohan yang mendedahkan lebih daripada 100 juta rekod kad pembayaran.
CRYPTEX
Pada awal 2018, Taleon dan pemilik UAPS melancarkan pertukaran mata wang kripto yang dipanggil Cryptex[.]net yang telah muncul sebagai penggerak utama syiling crypto yang diperoleh secara haram.
Taleon mengingatkan pelanggan UAPS bahawa mereka akan menikmati komisen 0% dan tiada keperluan “kenali pelanggan anda” (KYC) “di Cryptex pertukaran kami.”
Cryptex telah dikaitkan dengan beberapa transaksi ransomware, termasuk pembayaran ransomware terbesar yang diketahui setakat ini. Pada Februari 2024, mangsa perisian tebusan Fortune 50 membayar wang tebusan rekod $75 juta kepada kumpulan jenayah siber Rusia yang menggelarkan diri mereka sebagai Malaikat Gelap . Sumber yang mempunyai pengetahuan tentang penyiasatan berkata analisis pembayaran itu menunjukkan kira-kira separuh daripadanya diproses melalui Cryptex.
Sumber itu memberikan tangkapan skrin penghantaran dan penerimaan Cryptex seperti yang dilihat oleh Chainalysis , sebuah syarikat kerajaan AS dan banyak pertukaran mata wang kripto bergantung kepada urus niaga yang dikaitkan dengan pengubahan wang haram yang disyaki, pembayaran perisian tebusan atau memudahkan pembayaran untuk tapak web darknet.
Chainalysis mendapati bahawa Cryptex telah menerima lebih daripada $1.6 bilion sejak penubuhannya, dan jumlah ini kira-kira sama dengan pendedahan penghantarannya (walaupun jumlah aliran keluar adalah hampir separuh daripada aliran masuk).
Grafik menunjukkan banyak wang yang mengalir ke Cryptex — kira-kira satu perempat daripadanya — datang daripada ATM bitcoin di seluruh dunia . Pakar mengatakan kebanyakan aliran masuk ATM ke Cryptex adalah deposit tunai ATM bitcoin daripada pelanggan tapak web kad seperti BriansClub dan Jokers Stash.
Tangkapan skrin ringkasan Chainalysis mengenai aktiviti haram di Cryptex sejak penubuhan bursa pada 2018.
Dakwaan yang dikeluarkan hari ini tidak secara pasti menghubungkan Taleon kepada Cryptex. Walau bagaimanapun, PM2BTC (yang bekerjasama dengan Taleon untuk melancarkan UAPS dan Pinpays) dan Cryptex kini telah diluluskan oleh Jabatan Perbendaharaan AS .
Rangkaian Penguatkuasaan Jenayah Kewangan Perbendaharaan (FinCEN) mengenakan sekatan hari ini terhadap PM2BTC di bawah kuasa “Seksyen 9714” baharu yang berkuasa yang termasuk dalam Akta Membanteras Pengubahan Wang Haram Rusia , perubahan yang digubal pada 2022 untuk memudahkan usaha menyasarkan entiti kewangan yang terlibat dalam pengubahan wang haram untuk Rusia.
Perbendaharaan pertama kali menggunakan kuasa ini tahun lepas terhadap Bitzlato , pertukaran mata wang kripto yang beroperasi di Rusia yang menjadi saluran pengubahan wang haram untuk penyerang perisian tebusan dan peniaga pasaran gelap .
LAUNDROMAT
Siasatan terhadap entiti korporat di sebalik UAPS dan Cryptex mendedahkan sebuah organisasi yang diperbadankan pada 2012 di Scotland dipanggil Orbest Investments LP . Rekod dari daftar perniagaan United Kingdom menunjukkan pemilik Orbest Investments ialah dua entiti: CS Proxy Solutions CY , dan RM Everton Ltd.
Rekod perniagaan awam seterusnya mendedahkan bahawa CS Proxy Solutions dan RM Everton ialah pemilik bersama Progate Solutions , sebuah syarikat induk yang menonjol dalam laporan Jun 2017 daripada Bellingcat dan Transparency International (PDF) mengenai rangkaian pengubahan wang haram yang terikat dengan Kremlin.
“Agensi penguatkuasaan undang-undang percaya bahawa jumlah keseluruhan yang dicuci melalui proses ini boleh mencecah AS$80 bilion,” kata laporan bersama itu. “Walaupun tidak jelas dari mana semua wang ini datang, penyiasat mendakwa ia termasuk sejumlah besar wang yang dialihkan daripada perbendaharaan Rusia dan kontrak negara.”
Kisah mereka dibina berdasarkan laporan yang diterbitkan awal tahun itu oleh Projek Jenayah dan Rasuah Terancang (OCCRP) dan Novaya Gazeta , yang mendapati bahawa sekurang-kurangnya AS$20.8 bilion telah dialihkan keluar dari Rusia secara rahsia antara 2010 dan 2014 melalui mesin pengubahan wang haram yang besar yang terdiri daripada lebih 5,000 entiti undang-undang yang dikenali sebagai “The Laundromat.”
Imej: occrp.org
“Menggunakan rekod syarikat, wartawan menjejaki nama beberapa pelanggan selepas eksekutif enggan memberikan mereka,” jelas laporan OCCRP. “Mereka mendapati pengguna berat skim itu adalah orang Rusia yang kaya dan berkuasa yang telah membuat kekayaan mereka daripada berurusan dengan negara Rusia.”
Rich Sanders ialah penganalisis dan penyiasat blockchain yang menasihati penguatkuasa undang-undang dan komuniti perisikan. Sanders baru sahaja pulang dari persinggahan selama tiga minggu melalui Ukraine, mengembara bersama askar Ukraine sambil memetakan pertukaran crypto Rusia yang cerdik yang melakukan pengubahan wang untuk rangkaian narkotik yang beroperasi di rantau ini. Sanders berkata sekatan hari ini oleh Jabatan Perbendaharaan mungkin akan memberi kesan serta-merta kepada Cryptex dan pelanggannya.
“Apabila entiti dibenarkan, implikasi pada rantaian adalah besar,” kata Sanders kepada KrebsOnSecurity. “Tidak kira sama ada pertukaran itu benar-benar patuh atau hanya kebaikan memberi isyarat, ia adalah kes di seluruh lembaga bahawa pertukaran akan memberi perhatian kepada sekatan ini.”
“Tindakan ini menunjukkan pemproses pembayaran ini untuk platform haram akan mendapat perhatian akhirnya,” Sanders meneruskan. “Walaupun ia mengambil masa terlalu lama dalam kes ini, Cryptex tahu majoriti volum mereka bermasalah, tahu mengapa ia bermasalah, dan melakukannya juga. Dan ini sepatutnya menjadi panggilan bangun untuk pertukaran lain yang mengetahui sepenuhnya bahawa kebanyakan volum mereka bermasalah.”
Jabatan Negara AS menawarkan ganjaran sehingga $10 juta setiap satu untuk maklumat yang membawa kepada penahanan dan/atau sabitan Shakhmametov dan Ivanov . Pengumuman Negeri mengatakan ganjaran berasingan sehingga $1 juta setiap satu ditawarkan untuk maklumat yang membawa kepada pengenalpastian pemimpin lain pasaran jenayah Joker’s Stash (selain Shakhmametov), serta pengenalan pemimpin utama UAPS lain, PM2BTC , dan kumpulan jenayah transnasional PinPays (selain Ivanov).
Imej: Perkhidmatan Rahsia AS.