Le ministère américain de la Justice a dévoilé l’acte d’accusation contre deux pirates informatiques présumés de Snowflake, qui ont piraté plus de 165 organisations en utilisant les services de la société de stockage cloud Snowflake.
Connor Riley Moucka et John Erin Binns sont accusés d’avoir utilisé des informations d’identification obtenues à l’aide d’un logiciel malveillant voleur d’informations pour pirater des comptes Snowflake qui n’étaient pas protégés par une authentification multifacteur.
Moucka et Binns ont exfiltré des téraoctets de données auprès de diverses entreprises et ont exigé le paiement d’une rançon en échange de la suppression des informations volées.
Selon l’acte d’accusation, les deux pirates ont volé « environ 50 milliards d’enregistrements d’appels et de SMS de clients » auprès d’une « grande entreprise de télécommunications » aux États-Unis.
AT&T est une entreprise correspondant au profil qui a subi une violation de données majeure au cours de la même période que celle décrite dans l’acte d’accusation.
AT&T a révélé en juillet que les journaux d’appels de 109 millions de clients avaient été exposés lors de l’incident et que les données avaient été accessibles à partir d’une base de données en ligne sur le compte Snowflake de l’entreprise.
Selon le accusationMoucka et Binns ont reçu vers la mi-mai une rançon du fournisseur de télécommunications sous forme de crypto-monnaie.
Ils ont tenté de cacher la source et la destination des fonds grâce à « une série complexe de transactions en crypto-monnaie », qui comprenait la conversion des paiements en crypto-monnaie Monero.
Avec certaines victimes, les attaquants se sont livrés à une double extorsion, en tentant d’obtenir une nouvelle rançon auprès d’une entreprise violée qui avait déjà payé la demande initiale.
Le document judiciaire indique que les deux pirates et leurs co-conspirateurs ont extorqué à trois victimes au moins 36 Bitcoins, soit 2,5 millions de dollars au moment de la transaction.
Outre AT&T, les violations de données liées aux attaques Snowflake ont touché des centaines de millions de particuliers, clients de Ticketmaster, Santander, Pure Storage, Advance Auto Parts, Los Angeles Unified, Assistant de devis/Arbre de prêtet Neiman Marcus.
Pour tirer profit des données volées aux victimes qui n’avaient pas payé la rançon, les pirates en ont fait la publicité auprès des acheteurs potentiels sur plusieurs forums de piratage.
Moucka (alias « Waifu » et « Judische ») a été arrêté fin octobre 2024 au Canada à la demande des États-Unis, qui le soupçonnaient d’être à l’origine de l’opération de vol de données ayant touché plus de 165 organisations.
L’autre hacker a été arrêté en Turquie cette année en mai et il s’appelle John Erin Binns (alias « irdev » et « j_irdev1337 »), qui en 2021 a revendiqué l’attaque majeure contre T-Mobile et s’est moqué de la sécurité de l’entreprise dans des interviews aux médias. .
Les deux hommes font désormais face à de multiples chefs d’accusation pour diverses accusations de cybercriminalité, notamment fraude électronique, fraude en valeurs mobilières, complot en vue de commettre une fraude, accès non autorisé et violation de systèmes informatiques, vol de données et violations de la vie privée.
S’ils sont reconnus coupables, les deux hommes pourraient encourir de lourdes peines de prison, les accusations annoncées étant comprises entre 5 et 25 ans d’emprisonnement chacune, pour un total de 60 ans.
De plus, les actifs et les profits des deux hommes seront saisis par le gouvernement, notamment leurs comptes bancaires, leurs véhicules, leurs biens immobiliers et tout autre objet de valeur obtenu à la suite des infractions présumées.