Carder.life - a.k.a Sforza_cesarini - Денис Золотарев

США предъявляют обвинения предполагаемому члену российской группы вымогателей Karakurt
На этой неделе суд США предъявил члену российской киберпреступной группировки обвинения в отмывании денег, финансовом мошенничестве и вымогательстве, согласно заявлению Министерства юстиции США (DOJ).
Денис Золотаревс, 33-летний гражданин Латвии, проживавший в Москве, был арестован правоохранительными органами республики Грузия в декабре 2023 года и экстрадирован в США ранее в этом месяце.
Согласно судебным документам, Золотарев связан с группой вымогателей Karakurt, которая крадет данные жертв и угрожает обнародовать их, если выкуп не будет выплачен в криптовалюте.
Группа поддерживает сайт утечек и портал аукционов, на котором перечислены компании-жертвы и предлагаются украденные данные для скачивания. Требования группы о выкупе варьировались от 25 000 до 13 миллионов долларов в биткоинах.
В предыдущих отчетах указывалось, что Каракурт был связан с ныне несуществующей бандой вымогателей Conti. Исследователи предполагают, что Karakurt был побочной операцией группы, стоящей за Conti, позволяя им монетизировать данные, украденные во время атак, когда организациям удавалось заблокировать процесс шифрования программой-вымогателем.
Золотарев предположительно действовал под псевдонимом "Sforza_cesarini" и был активным членом Karakurt. Он обвиняется в общении с другими участниками, отмывании криптовалюты и вымогательстве у жертв группы. По данным Министерства юстиции, он является первым предполагаемым членом группы, который был арестован и экстрадирован в США.
Судебные документы связывают Золотаревых с атаками по меньшей мере на шесть неназванных американских компаний.
В ходе одной атаки 2021 года Karakurt похитил “большой объем данных частных клиентов”, включая медицинские записи, номера социального страхования, совпадающие с именами, адресами, датами рождения, домашними адресами и результатами лабораторных исследований. Каракурт потребовал выкуп в размере примерно 650 000 долларов, но компания снизила его до 250 000 долларов.
Золотаревс, вероятно, был ответственен за проведение переговоров по “нераскрытому делу Каракурта о вымогательстве”, а также за проведение исследования с открытым исходным кодом для выявления номеров телефонов, электронных писем или других учетных записей, через которые можно было связаться с жертвами и оказать на них давление, чтобы они либо заплатили выкуп, либо повторно вошли в чат с группой вымогателей. "Нераскрытые дела о вымогательстве" относятся к случаям вымогательства, которые остаются нераскрытыми в течение длительного периода.
“В некоторых чатах указывалось, что усилия Сфорцы по оживлению нераскрытых дел были успешными в получении выкупа”, - говорится в судебных документах.
DENISS ZOLOTARJOVS
a.k.a "Sforza_cesarini"
Далее от bratvacorp.
Официально: https://storage.courtlistener.com/recap/gov.uscourts.ohsd.295290/gov.uscourts.ohsd.295290.4.0.pdf
Новость: https://therecord.media/us-charges-alleged-karakurt-ransomware-member
Кратко:
- Денис Золотарев, 33-летний гражданин Латвии, проживающий в Москве был арестован в декабре 2023 в Грузии и экстрадирован в США в этом месяце
- в рокетчате Каракурта был известен как "Sforza_cesarini"
- участвовал как минимум в 6 атаках на компании США
- роль в группе - осинтер на "холодных кейсах" - прозванивал, вел переговоры и благополучно вытаскивал выкупы
Косяки:
1)
"On or about August 11, 2021, two employees of Company-1 received an email from the Google account mailto:[email protected]."
Я бы не жертвовал инбоксом ради прайваси - с Гугла слишком просто вытаскивать информацию для них (вплоть до кросс-логинов в другие сервисы через мета-дату).
2)
"11. On or about March 26, May 16, and August 28, 2023, the FBI’s Technical Operations Unit (“TOU”) executed search warrants signed by Magistrate Judges in the Northern District of Texas and Southern District of Ohio to search the servers accessible at the Rocket.Chat Tor URL believed to be hosting the Rocket.Chat used by Karakurt to discuss cybercriminal activity. The execution of those search warrants resulted in the collection of approximately 18,500 Rocket.Chat messages from a private Rocket.Chat server, with messages dating from as early as in or about April of 2022 through on or about August 28, 2023.
Судя по всему, у ФБР есть рабочие методики для установления реального айпи-адреса тор-сервиса. Это не говорит о том, что не нужно использовать Тор, но возможно стоит закладывать риск того, что сервер будет установлен и хостеру придут запросы. Скорее всего хостер был в той стране, откуда ФБР не представляет труда получить информацию.
3)
"The user accounts, message contents, and configuration of the Rocket.Chat messages provided by the CHS matched those collected by the search warrants, except some of the messages in the earlier collections appeared to have been deleted in the later collections, and additional users appeared to have been added in later collections as well.
Доступ к чату ФБР имели еще до того, как получили содержимое серверов - через участника чата, кто им сливал логи.
4)
"In late July and early August of 2022, the users discussed concerns regarding decreased returns on victimizations due to Karakurt’s association with the Conti ransomware organization name, which had been sanctioned by the United States
in the spring of 2022 due to Conti’s close ties to Russian government activities. The users suggested the Karakurt group needed to further distance itself from Conti by again changing their group’s name to TommyLeaks, Schoolboys Ransomware Gang, and Blockbit. Additionally, the users expressed disappointment that recent attacks using the TommyLeaks and Schoolboys Ransomware Gang names had already been publicly associated back to Karakurt and Conti.
В рокетчате опять трепались обо всем подряд на радость американцам - в том числе подтверждая связь между своими брендами.
5)
"I reviewed records provided to the FBI by the U.S. cryptocurrency firm regarding BTC Cluster-1 and learned the deposit account that sent 1.39 BTC to BTC Cluster-1 belonged to an individual named Deniss Zolotarjovs (“ZOLOTARJOVS”), a Latvian national living in Moscow, Russia, date of birth August 27, 1990, with mobile telephone phone number +79257006567, email address mailto:[email protected], Russian driver’s license 9916268972, and Latvian passport number LV4626616."
Шел 2022, а пацаны продолжали отмывать биткойн на личные кошельки, открытые к тому же на криптобиржах, к которым у американцев есть полный контроль.
6)
c. I searched a Garantex dataset provided by the United States Secret Service, which was obtained by the United States Secret Service via a search warrant issued by a U.S. Magistrate Judge in the Eastern District of Virginia on April 5, 2022, for
information related to the above referenced transaction to Garantex, and found the 5.68 BTC was deposited to an account associated with Bitcoin24.pro, a nested exchange within Garantex known for exchanging bitcoin for Russian rubles. The
Bitcoin24.pro account records revealed the 5.68 BTC deposited into the Bitcoin24.pro account were associated with a Bitcoin24.pro account registered to email address mailto:[email protected].
Делаем вывод, что у ЮССС есть база Гарантекса, а у ФБР Bitcoin24.pro.
7)
"On or about September 5, 2023, I served a search warrant issued by a U.S. Magistrate Judge in the Southern District of Ohio to Apple, Inc. for records associated with an account registered to mailto:[email protected]. Apple, Inc. provided records
responsive to the warrant, and I have reviewed those records. From that review, I have learned the following:
a. The account was registered to Deniss Zolotarjovs with telephone number +79257006567. The records showed the account was accessed by numerous IP addresses in Russia and Latvia over the previous three years
У некоторых людей существует вредный стереотип, что якобы Эппл защищает их данные и не сотрудничает толком с правоохранительными органами (или отдает минимум информации). Вот конкретный пример - когда отдали не только регистрационные данные, включая телефон, но и айпи-адреса за (!) 3 года.
8)
"On or about November 8, 2023, I spoke with an editor of an online cybersecurity news blog who contacted the FBI after having been in communications with an anonymous person with knowledge of the Karakurt hacking group. The editor said the anonymous person reported they had been contacting previous Karakurt victims and asking them for money in exchange for deleting their private data they found while privately investigating the Karakurt ransomware group. The anonymous person said they wanted the editor’s help in convincing the victims that the individual was serious, and asked the editor to either contact the victims or publish victim information. The editor refused to provide the requested assistance to the
anonymous person, but offered to connect the person with the FBI because those with important information on cybercriminals can receive financial rewards. I asked the editor to pass the anonymous person’s contact information to me, and to relay to the anonymous person a message to expect an email from the FBI. The editor provided an email address, mailto:[email protected],"
+
"The FBI requested investigative assistance from Swiss law enforcement for records associated with mailto:[email protected], and in response, Swiss law enforcement provided records indicating the email address was registered on October 17, 2023 at approximately 11:28 AM UTC from an IP address (“IP-1”).
20. I conducted link analysis of IM ID-1, IM ID-2, IM ID-3, mailto:[email protected],
and mailto:[email protected]. From that link analysis, I learned the following:
a. IM ID-1, associated with Karakurt Rocket.Chat user Sforza, was accessed by the
same IP addresses at or about the same times, on multiple occasions, as those used
to access mailto:[email protected].
b. IM ID-1 was accessed by the same IP addresses at the same times, on multiple
occasions, as those used to access IM ID-2.
c. IM ID-2 was accessed by the same IP addresses at the same times, on multiple
occasions, as those used to accessed IM ID-3.
d. On at least one occasion, the same IP address was used to access IM ID-1, IM ID-
2, and IM ID-3 on the same day.
e. IP-1, which was used to register mailto:[email protected] on October 17, 2023 at
approximately 11:28 UTC, was used to access both IM ID-2 and IM ID-3 on
October 17, 2023 at approximately 11:30 UTC"
Кому лень читать английский - кратко - Золотарев связался с инфосек-журналистом и предложил опубликовать слив жертвы или связаться с ней, чтобы его подтвердить (для того, чтобы додавить на переговорах), журналист отказался и (неожиданно!) слил все ФБР, включая ящик протона, с которого связывался аноним. У Золотарева был ужасный ОпСек и с помощью мета-даты уже собранной между его аккаунтами - судье доказывают, что он распоряжался ими всеми.
9)
"I communicated with the individual using email address mailto:[email protected] numerous times between on or about November 8, 2023 and November 22, 2023. In those communications, the individual claimed to be an independent cybersecurity researcher with information to share on Karakurt, including their knowledge that Karakurt was the successor to Conti ransomware group, and also operated the Akira ransomware encryptor, as well as used the names TommyLeaks and SchoolBoys Ransomware Group in the past. The individual claimed to not be a criminal,"
+
"The individual provided screenshots of the Karakurt Rocket.Chat panel the FBI previously seized in the above-referenced search warrants located at the Rocket.Chat Tor URL. The screenshot of the Rocket.Chat panel provided by the individual showed the individual was logged in as a username with an avatar represented by a large, uppercase, white font “S” in a brown box. Only one user on the seized Rocket.Chat had the same avatar, Sforza_cesarini, indicating the individual was almost certainly logged in as Sforza_cesarini at the time of taking the screenshot. The individual requested approximately $365,000 in Bitcoin from the FBI in exchange for sharing additional information on the group."
Я даже не знаю, как это комментировать: когда ФБР связались с Золотаревым - он прикинулся инфосек-ресерчером и предложил слить информацию на Каракурт - дал базовые данные, показал скриншот чата (где спалил свой же никнейм) и просил за больше информации - 365к баксов (похоже, что карма настигла).
Вот такие вот приключения Дениски, малята.
https://therecord.media/us-charges-alleged-karakurt-ransomware-member
https://www.justice.gov/usao-sdoh/pr/member-russian-cybercrime-group-charged-ohio
https://www.documentcloud.org/documents/25056801-karakurt
https://storage.courtlistener.com/recap/gov.uscourts.ohsd.295290/gov.uscourts.ohsd.295290.4.0.pdf
https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-152a