Как деанонимизировали Wazawaka

История с объявлением награды за голову российского хакера Михаила Матвеева вышла далеко за пределы даркнета. В этой связи Darknet News напоминает, как был деанонимизирован Wazawaka. Найти хакера в январе 2022 года смог независимый журналист Брайан Кребс (Brian Krebs), который тогда же выложил полную цепочку сведений, которые привели его к Матвееву.

Во вступлении Кребс назвал Wazawaka «очень активным участником многочисленных киберпреступных форумов», отмечая его особенное расположение к Exploit. Также он указывал со ссылкой на самого хакера его связи с LockBit и DarkSide. При этом Кребса удивил подход Матвеева к ситуациям, в которых атакованная компания отказывалась выплачивать выкуп: Wazawaka не устраивал закрытые аукционы с продажей доступов победителю, а выкладывал все данные публично, причем делал это всего через пять дней после отказа, не оставляя жертвам пространства для маневра.

«За последние 10 лет Wazawaka зарегистрировал множество фишинговых доменов, предназначенных для кражи учетных данных у людей, пытающихся совершать транзакции на даркнет-площадках. Например, в 2018 году он активно подменял домен маркетплейса Hydra», — написал Кребс.

Журналист выяснил, что Wazawaka использовал несколько адресов электронной почты и псевдонимов на российских даркнет-форумах, но данные Constella Intelligence свидетельствуют, что для всех использовался один из уникальных паролей: 2k3x8x57, 2k3X8X57 и 00virtual. Им соответствуют следующие почтовые адреса: [email protected], [email protected], [email protected], [email protected]. Последний адрес использовался для регистрации аккаунта «ВКонтакте» на имя Михаил Mix Матвеев c привязанным номером телефона +79617467845, относящимся к Хакасии.

Сайт DomainTools.com дает выкладку, что [email protected] использовался для регистрации трех доменов в период с 2008 по 2010 год: ddosis.ru, best-stalker.com и cs-arena.org. Последний домен был первоначально зарегистрирован в 2009 году на Михаила Матвеева из Абакана (Хакасия). Поняв, что это сочетание имени и фамилии сложно назвать уникальным для России, Кребс сузил поиск.

Он нашел на Exploit пост Wazawaka с указанием его номера ICQ (902228). Учетная запись с таким номером была зарегистрирована на ныне несуществующем дискуссионном форуме о хакасском поселке Копьево с населением около четырех тысяч человек. Кроме того, человек с ником Wazawaka и таким же номером ICQ в 2009 году активно продвигал портал fureha.ru под видом ресурса для жителей Хакасии. Как выяснилось, он был зарегистрирован на адрес электронной почты [email protected] и номер телефона +79617467845, который совпадает с номером Матвеева из «ВКонтакте».

База DomainTools.com указывает, что [email protected] использовался для регистрации еще двух доменов: badamania.ru и несуществующего порносайта tvporka.ru. К последнему был привязан номер телефона +79235810401, также выданный в Хакасии. Более 10 лет назад он был связан с аккаунтом в Skype matveevatanya1, за которым скрывалась 29-летняя Татьяну Матвеева-Дерябина, в профиле которой было указано, что она проживает в Красноярске.

Кроме того, в 2009 году Михаил Матвеев из города Абаза (Хакасия) зарегистрировал имя пользователя Wazawaka на weblancer.net, независимой бирже труда для российских ИТ-специалистов. В аккаунте Weblancer говорится, что соискателю на момент написания материала Кребса 33 года. Помимо этого, Кребс установил, что [email protected] был привязан к более поздней, но уже удаленной учетной записи «ВКонтакте» на имя Михаила Матвеева, который использовал пароль 2k3X8X57.

Таким образом Кребс простроил практически полный маршрут от Wazawaka к Михаилу Матвееву. Все его догадки впоследствии были подтверждены самим хакером.

RuNews|DarkNews.pro|EngNews
-МежФорумный 👥🛡(чат)-

💎@ChponkFamilyLink — лучший в даркнете обнал и не только 💎

свободное рекламное место под ваши подписи