gravgor

1. Czy inne firmy, które otrzymały podobne wiadomości, również odnotowały incydenty – czy LexSecure była jedyną, która kliknęła? 2. Czy kod złośliwego oprogramowania był customowy i napisany od zera, czy wykorzystano ogólnodostępne frameworki ransomware? 3. Czy można ustalić, z jakiego kraju zarejestrowano domenę przekierowującą? Czy rejestracja odbyła się przy użyciu wcześniej znanych tożsamości cyfrowych? 4. Czy po skasowaniu strony, środki zostały przetransferowane przez miksery kryptowalutowe? 5. Czy zaszyfrowane dane osobowe obejmowały jedynie informacje podstawowe (np. imię, nazwisko, adres), czy także dane medyczne, finansowe, numery polis lub informacje wysokiego ryzyka?

**Drug Enforcement Administration postanowiło zaaganżować się w sprawę razem z biurem narkotykowym Los Santos County Sheriff's Department **

pozdro @302

**Sprawa wpłynęła do Federal Bureau of Investigation. Rozpoczęto śledztwo w sprawie zorganizowane ataku ransomware. Agenci FBI zabezpieczyli serwery, stacje robocze oraz infrastrukturę sieciową firmy LexSecure. Przesłuchano kluczowych pracowników działu IT oraz bezpieczeństwa, równolegle agenci rozpoczęli analize portfela kryptowalutowego. Śledczy pracują nad odtworzeniem pełnej trasy sieciowej i lokalizacji zagranicznych serwerów.** Kto jako pierwszy kliknął złośliwy link, czy był to szeregowy pracownik czy można osoba z dostępem do wrażliwych systemów? Jakim cudem domena podszywająca się pod Google przeszła przez filtry bezpieczeństwa Gmaila oraz systemów firmowych? Jak nie została ona wykryta jako próba phisingu i przerzucona do spamu? Osoba odpowiedzialna za pierwsze kliknięcie w link mogła działać nieświadomie, czy jednak była pionkiem wewnętrznego sabotażu w firmie? Jak długo strona była aktywna zanim została zdjęta? Czy podczas analizy kodu ransomware można odnaleźć sygnatury powiązane z grupami? Czy kryptowalutowy portfel odbiorcy okupu jest nowy, czy powiązany z jakimiś innymi atakami? Czy śledczym udało się prześledzić gdzie i jak środki zostały przesłane dalej? Jeśli tak, to co mogli ustalić? Jakie dane zostały konkretnie zaszyfrowane?

Czy można zidentyfikować rejestracje pojazdów, które opuściły blok o 21:26-21:28 oraz te, które wróciły między 21:40 a 22:00?

Agenci otrzymali nagrania z kamer monitoringu z hoteli znajdujących się naprzeciwko miejsca zdarzenia – Templar Hotels oraz Mission Row Hotel, których kamery obejmują wejście do klatki schodowej, gdzie doszło do morderstwa. Czy na którymkolwiek z tych nagrań udało się zidentyfikować Raekwona Dupree, Ibrahima Allousa, Dante Bella lub Rue Joassaint? Jeśli tak, czy nagrania te potwierdzają, że którakolwiek z tych osób wchodziła do budynku lub przebywała w jego bezpośrednim otoczeniu w godzinach około 21:00-22:30? Czy kamera monitoringu sklepu Get Aweigh, znajdującego się po drugiej stronie zaułka, mogła uchwycić moment, w którym Rakeem Burnett – po wyjściu ze studia o 20:55 i wejściu do zaułka – przechodzi na drugą stronę ulicy? Czy na nagraniu udało się go zidentyfikować i określić jego dalszy kierunek poruszania się?

Czy rana kłuta, która doprowadziła do poważnych obrażeń Maestro Macka, jest zgodna z nożem znalezionym w mieszkaniu przy Mission Row? Czy studio nagraniowe, w którym przebywali podejrzani oraz ofiary, posiadało wewnętrzny monitoring? • Jeśli tak – czy materiał ten został udostępniony lokalnemu departamentowi, a następnie przekazany FBI? 2.1 Jeśli tak – co zostało zarejestrowane na monitoringu wewnętrznym studia w dniu zdarzenia, w szczególności pomiędzy 20:00 a 22:00? • Czy widoczne są jakiekolwiek sprzeczki, akty agresji, dziwne zachowania? Czy w momencie zatrzymania Taurus Clement miał na sobie jakiekolwiek ślady krwi – należące do Rakeema Burnetta lub Jaheima Bella? Czy jakiekolwiek kamery miejskie, uliczne lub prywatne w okolicach studia nagraniowego zarejestrowały moment, w którym Rakeem Burnett opuścił studio? • Jeśli tak – w którą stronę się udał? Czy którakolwiek z kamer wzdłuż drogi pomiędzy studiem a mieszkaniem przy Mission Row zarejestrowała Rakeema Burnetta lub inne osoby przemieszczające się tą trasą? ((@Verevi))

**FBI przejęło śledztwo po LSPD, które wcześniej zabezpieczyło scenę zbrodni w mieszkaniu w Mission Row. FBI przeprowadziło analizę materiałów dowodowych, aby powiązać te wydarzenia i wyjaśnić ich tło.** Czy znaleziono jakiekolwiek ślady włamania, lub forsowania wejścia? Czy po zebraniu próbek krwi i dalszej analizie ich w labolatorium, można stwierdzić, do kogo należy krew znaleziona na Rakeemie Burnett? Do kogo należą włosy zabezpieczone na bluzie Rakeema? Czy nóż znaleziony w toalecie może być powiązany z ranami Rakeema Burnetta? Czy monitoring z okolicy studia nagraniowego może wykazać jakiekolwiek powiązania pomiędzy osobami z mieszkania i ofiarami w studiu? Czy ktoś z personelu szpitala, do którego trafili ranni ze studia, potwierdził obecność osób trzecich lub odwiedzających podejrzanych tuż przed lub po incydencie?

**Technicy zaczęli grzebać głębiej przy samym skimmerze, rozpoczęli testy w środowisku kontrolowanym.** Podczas testów w tymże środowisku, czy skimmer w jakikolwiek sposób próbował automatycznie nawiązać połączenie z wcześniej sparowanym urządzeniem? Jeśli tak to jakie UUID, aliasy lub inne dane identyfikacyjne mogły pojawić się w tym procesie parowania? Czy podczas próby uruchomienia skimmera udało się przechwycić jakąkolwiek próbę transmisji danych? Jeśli tak, to jaki był format, struktura oraz stopień zaszyfrowania danych i czy zawierały informacje które mogły zidentyfikować środowisko źródłowe? Czy podczas uruchamiania urządzenia w kontrolowanym środowisku pojawiły się jakiekolwiek opóźnienia, nieoczekiwane przerwy lub wzorce zachowania? Czy technicy wykryli w firmware urządzenia do skimmowania jakiekolwiek logi debugowania lub komentarze wewnątrz kodu? Jeśli tak na co mogły wskazywać?

Czy technicy byli w stanie przechwycić identyfikator MAC laptopa, z którym parowało się urządzenie? Czy ten MAC był zarejestrowany w jakichkolwiek publicznych sieciach WiFi lub infrastrukturze miejskiej? Jeśli MAC został przechwycony to śledczym pewnie udało się zidentyfikować kto jest producentem sprzętu poprzez OUI, więc kto w takim wypadku jest producentem laptopa? Czy w momencie zdarzenia lub przed zarejestrowano inne urządzenia Bluetooth w pobliżu stacji które również mogły się parować lub były aktywne? Czy udało się wychwycić inne BLE z tym samym laptopem?

**Technicy laboratoryjni przeprowadzili szczegółową analizę zabezpieczonego urządzenia skimmingowego, badając je od podstawowej konstrukcji mechanicznej po komponenty elektroniczne i nośniki danych. Zespół specjalistów od cyberprzestępczości zbadał zawartość pamięci urządzenia oraz sprawdził, czy urządzenie wykorzystywało jakiekolwiek formy łączności bezprzewodowej, takie jak Bluetooth lub Wi-Fi. ** Pytania w sprawie samego urządzenia skimmującego: Technicy laboratoryjni rozebrali urządzenie na czynniki pierwsze, czy udało się zidentyfikować główny układ (mikrokontroler, procesor) i jego producenta? Jesli tak, to jakie oznaczenia widnieją na płytce, mogące wskazywać model elementów? Przechodząc dalej zaczęli mocniej weryfikować całe urządzenie, czy w kodzie lub w jakichkolwiek układach wykryto funkcje szyfrujące, zabezpieczające bootloadera? W jaki sposób urządzenie transmituje dane na komputer mężczyzny? Czy ma moduł GSM z aktywną kartą sim - jeśli tak, to czy jest jakikolwiek ślad po nawiązywanych połączeniach, smsach lub transmisjach danych? Czy może urządzenie korzystało z sieci WiFi lub Bluetooth, jeśli tak to czy udało się wykryć nietypowe sieci lub jakieś parowania w pobliżu miejsca gdzie urządzenie zostało zamontowane? Czy skimmer posiada czujniki aktywacji? Czy na płytce lub w samym oprogramowaniu do którego doszli technicy znajdują się elementy wskazujące na to, że urządzenie włączało się tylko podczas wkładania karty? Czy może jednak urządzenie chodziło cały czas transmitując dane? Pytania dotyczące śladów pozostawionych w internecie: W jaki sposób mężczyzna wystawił dane na sprzedaż? Czy śledczy byli w stanie wykryć oferty sprzedaży na forach hakerskich, darkwebie? Jaka platforma została użyta? Jakie dane były oferowane? Czy sprzedawano numery kart, dane PIN, track data czy pełne pakiety danych użytkowników tzn. całe dane kart + dane osobowe. Czy udało się ustalić czy ten użytkownik oferował także inne skradzione dane? Jakie formy płatności za dane były akceptowane? Czy była to płatność kryptowalutą (BTC,XMR) czy innym sposobem? Czy są ślady portfela kryptowalutowego, który można prześledzić? Pytania w sprawie ofiar: Czy ofiary zostały jakkolwiek poinformowane o wycieku ich danych, jeśli nie to czy ofiary zaczęły zgłaszać znikające pieniądze, czy inne podejrzane transakcje które mogły zachodzić na ich kontach?

**Sprawa skimmingu z dnia 27.04.2025 roku na stacji paliw w dzielnicy Davis trafiła na biurko agentów Federal Bureau of Investigation z biura terenowego Los Santos, którzy natychmiast podjęli działania operacyjne. Tuż po świcie na miejsce zdarzenia przybyli specjaliści z Evidence Response Team, rozpoczynając intensywne czynności śledcze. Zespół wyznaczył strefę zabezpieczenia, starannie oznaczył wszystkie ślady oraz zabezpieczył podejrzane elementy pozostawione przez sprawcę. W centrum zainteresowania znalazł się bankomat, przy którym nieznany sprawca zainstalował nocą urządzenie skimmingowe. Agenci terenowi wspólnie z ERT zabezpieczyli również materiał wideo z kamer monitoringu, pobrali ślady daktyloskopijne i włókna, a następnie przeprowadzili przesłuchania personelu stacji. Dzięki szybkim i skoordynowanym działaniom, wszystkie kluczowe dowody zostały zabezpieczone i trafiły do dalszej analizy kryminalistycznej.** ((pytania do przestepstwa niedlugo))