Hacker de extorsão da Snowflake pode ser militar dos EUA

• Dois homens foram presos sob acusação de roubar dados e extorquir várias empresas que usam a empresa de armazenamento de dados em nuvem Snowflake. No entanto, um terceiro suspeito, o hacker conhecido como Kiberphant0m, continua ativo e ameaçando publicamente as vítimas. A identidade de Kiberphant0m pode ser a de um soldado do Exército dos EUA que esteve recentemente estacionado na Coreia do Sul.

• Kiberphant0m está vendendo dados de clientes da Snowflake em vários fóruns de cibercrime e em canais do Telegram e Discord. No fim de 2023, os hackers descobriram que muitas empresas haviam enviado dados sensíveis de clientes para contas da Snowflake, e que essas contas eram protegidas apenas por nomes de usuário e senhas simples.

• Depois que as credenciais de contas da Snowflake foram roubadas, os hackers começaram a invadir repositórios de dados de algumas das maiores empresas do mundo. Entre elas estava a AT&T, que revelou em julho que dados pessoais e registros de chamadas e mensagens de texto de cerca de 110 milhões de pessoas haviam sido roubados.

• As autoridades canadenses prenderam Alexander Moucka em 30 de outubro, e ele foi acusado de 20 crimes relacionados aos ataques à Snowflake. Outro suspeito, John Erin Binns, está atualmente preso na Turquia.

• Logo após a notícia da prisão de Moucka, Kiberphant0m fez ameaças ao publicar no fórum hacker BreachForums registros de chamadas do presidente eleito Donald J. Trump e da vice-presidente Kamala Harris da AT&T.

• Kiberphant0m também está vendendo registros de chamadas de clientes de push-to-talk (PTT) da Verizon e oferecendo um serviço de "SIM swapping" voltado a clientes PTT da Verizon.

Apresentação de ‘BUTTHOLIO’

• Kiberphant0m entrou no BreachForums em janeiro de 2024, e sua atividade em canais de Discord e Telegram começou pelo menos no início de 2022. Em sua primeira postagem no BreachForums, afirmou que podia ser contatado pelo handle do Telegram @cyb3rph4nt0m.

• Desde janeiro de 2024, @cyb3rph4nt0m publicou mais de 4.200 mensagens, e muitas delas foram tentativas de recrutar pessoas para distribuir malware que infecta máquinas host com uma botnet de IoT.

• Kiberphant0m vendeu no BreachForums o código-fonte da botnet Linux de DDoS " Shi-Bot ", baseada no malware Mirai.

‘REVERSESHELL’

• @Kiberphant0m foi associado ao ID 6953392511 no Telegram e, segundo dados da Flashpoint, publicou no canal Dstat em 4 de janeiro de 2024. Esse canal reúne cibercriminosos que realizam ataques DDoS e vendem serviços de aluguel de DDoS.

• Segundo dados da Flashpoint, em 10 de abril de 2024 @kiberphant0m informou a outro membro do Dstat que seu nome de usuário alternativo no Telegram era " @reverseshell ".

• Em 15 de novembro de 2022, @reverseshell afirmou no canal Cecilio Chat no Telegram que era um soldado do Exército dos EUA.

PROMAN AND VARS_SECC

• A Flashpoint afirmou que o ID 5408575119 no Telegram usou vários apelidos desde 2022, incluindo Reverseshell e Proman557.

• A Intel 471 afirmou que o nome Proman557 era um dos que venderam vários malwares de botnet baseados em Linux no fórum russo de hackers Exploit em 2022.

BUG BOUNTIES

• Vars_Secc afirmou no Telegram em maio de 2023 que ganhou dinheiro enviando relatórios sobre falhas de software por meio da HackerOne. A HackerOne é uma empresa que ajuda companhias de tecnologia a lidar com relatórios de vulnerabilidades de segurança em seus produtos e serviços.

• Vars_Secc afirmou ter recebido recompensas de bug bounty de mais de 30 organizações, incluindo reddit.com, o Departamento de Defesa dos EUA e a Coinbase.

• As várias identidades de Kiberphant0m sugerem fortemente que ele pode ser um soldado do Exército dos EUA que esteve estacionado até recentemente na Coreia do Sul. Suas outras identidades não mencionavam patente militar, regimento ou especialidade, mas é possível que suas habilidades em computação e redes tenham chamado atenção dentro das forças armadas.