Hackers que extorsionaron a Snowflake podrían incluir a un soldado de EE. UU.

• Dos hombres fueron arrestados por presuntamente robar y extorsionar con datos de varias empresas que usan la compañía de almacenamiento de datos en la nube Snowflake. Sin embargo, un tercer sospechoso, el hacker conocido como Kiberphant0m, sigue activo y está extorsionando públicamente a las víctimas. La identidad de Kiberphant0m podría corresponder a un soldado del Ejército de Estados Unidos que estuvo recientemente destinado en Corea del Sur.

• Kiberphant0m está vendiendo datos de clientes de Snowflake en varios foros de ciberdelincuencia y en canales de Telegram y Discord. A fines de 2023, los hackers descubrieron que muchas empresas habían subido datos sensibles de clientes a cuentas de Snowflake, y que esas cuentas estaban protegidas solo con un nombre de usuario y una contraseña simples.

• Después de obtener credenciales robadas de cuentas de Snowflake, los hackers empezaron a infiltrarse en repositorios de datos de algunas de las empresas más grandes del mundo. Entre ellas estaba AT&T, que en julio reveló que fueron robados datos personales y registros de llamadas y mensajes de texto de aproximadamente 110 millones de personas.

• Las autoridades canadienses arrestaron a Alexander Moucka el 30 de octubre, y fue acusado de 20 cargos criminales relacionados con los ataques a Snowflake. Otro sospechoso, John Erin Binns, está actualmente encarcelado en Turquía.

• Poco después de que se difundiera la noticia del arresto de Moucka, Kiberphant0m publicó en la comunidad hacker BreachForums los registros de llamadas del presidente electo Donald J. Trump y de la vicepresidenta Kamala Harris, usándolos como amenaza contra AT&T.

• Kiberphant0m también está vendiendo registros de llamadas de clientes de push-to-talk (PTT) de Verizon, y ofrece un servicio de "SIM swapping" dirigido a clientes PTT de Verizon.

Presentación de ‘BUTTHOLIO’

• Kiberphant0m se unió a BreachForums en enero de 2024, y su actividad en canales de Discord y Telegram se remonta al menos a principios de 2022. En su primera publicación en BreachForums, indicó que podían contactarlo mediante el handle de Telegram @cyb3rph4nt0m.

• @cyb3rph4nt0m publicó más de 4,200 mensajes desde enero de 2024, y muchos de ellos buscaban reclutar personas para distribuir malware que infectara máquinas host con una botnet de IoT.

• Kiberphant0m vendió en BreachForums el código fuente de " Shi-Bot ", una botnet Linux para DDoS basada en el malware Mirai.

‘REVERSESHELL’

• @Kiberphant0m fue identificado con el ID de Telegram 6953392511 y, según datos de Flashpoint, publicó el 4 de enero de 2024 en el canal Dstat. Ese canal reúne a ciberdelincuentes que realizan ataques DDoS y venden servicios de DDoS por encargo.

• Según datos de Flashpoint, el 10 de abril de 2024 @kiberphant0m le dijo a otro miembro de Dstat que su nombre de usuario alternativo en Telegram era " @reverseshell ".

• El 15 de noviembre de 2022, @reverseshell afirmó en el canal de Telegram Cecilio Chat que era un soldado del Ejército de Estados Unidos.

PROMAN Y VARS_SECC

• Flashpoint señaló que el ID de Telegram 5408575119 usó desde 2022 varios alias, entre ellos Reverseshell y Proman557.

• Intel 471 indicó que el nombre Proman557 correspondía a una de las personas que en 2022 vendieron distintos malwares de botnets basados en Linux en el foro ruso de hacking Exploit.

BUG BOUNTIES

• Vars_Secc afirmó en Telegram en mayo de 2023 que ganaba dinero enviando reportes sobre fallas de software a través de HackerOne. HackerOne es una empresa que ayuda a compañías tecnológicas a procesar reportes sobre vulnerabilidades de seguridad en sus productos y servicios.

• Vars_Secc afirmó haber recibido recompensas por bugs de más de 30 organizaciones, incluidas reddit.com, el Departamento de Defensa de Estados Unidos y Coinbase.

• Las múltiples identidades de Kiberphant0m sugieren fuertemente que podría ser un soldado del Ejército de Estados Unidos que estuvo destinado en Corea del Sur hasta hace poco. Sus otras identidades no mencionaban rango militar, regimiento ni especialidad, pero es posible que sus habilidades en computación y redes hayan llamado la atención dentro del ejército.