Ex-desenvolvedor da Ubiquiti acusado de tentar extorquir seu empregador

Nickolas Sharp, um ex-funcionário da fabricante de dispositivos de rede Ubiquiti, foi preso e acusado hoje de roubo de dados e tentativa de extorquir seu empregador enquanto se passava por denunciante e hacker anônimo.

"Como alegado, Nickolas Sharp explorou seu acesso como um insider confiável para roubar gigabytes de dados confidenciais de seu empregador e, em seguida, se passando por um hacker anônimo, enviou à empresa um pedido de resgate de quase US $ 2 milhões", disse o procurador dos EUA Damian Williams hoje.

"Como alegado posteriormente, depois que o FBI revistou sua casa em conexão com o roubo, Sharp, agora se passando por um denunciante anônimo da empresa, plantou notícias prejudiciais alegando falsamente que o roubo havia sido cometido por um hacker habilitado por uma vulnerabilidade nos sistemas de computador da empresa. "

Exposto por uma interrupção da Internet

De acordo com a acusação [ PDF ], Sharp roubou gigabytes de dados confidenciais da infraestrutura AWS da Ubiquiti (em 10 de dezembro de 2020) e GitHub (em 21 e 22 de dezembro de 2020) usando suas credenciais de administrador de nuvem, clonando centenas de repositórios GitHub por SSH.

Ao longo desse processo, o réu tentou ocultar seu endereço IP residencial usando os serviços VPN da Surfshark. No entanto, sua localização real foi exposta após uma interrupção temporária da Internet.

Para ocultar sua atividade maliciosa, a Sharp também alterou as políticas de retenção de log e outros arquivos que teriam exposto sua identidade durante a investigação do incidente subsequente.

“Entre outras coisas, a SHARP aplicou políticas de retenção do ciclo de vida de um dia a certos registros na AWS, o que teria o efeito de excluir certas evidências da atividade do invasor em um dia”, afirmam os documentos do tribunal.

Depois que a Ubiquiti divulgou um  incidente de segurança  em janeiro após o roubo de dados da Sharp, enquanto trabalhava para avaliar o escopo e remediar os efeitos da violação de segurança, ele também tentou extorquir a empresa (fingindo ser um hacker anônimo).

Sua nota de resgate exigia quase US $ 2 milhões em troca da devolução dos arquivos roubados e da identificação de uma vulnerabilidade remanescente.

A empresa se recusou a pagar o resgate e, em vez disso, encontrou e removeu um segundo backdoor de seus sistemas, alterou todas as credenciais dos funcionários e emitiu a  notificação de violação de segurança em 11 de janeiro .

Bilhões de dólares em perdas após a queda do estoque

Depois que suas tentativas de extorsão falharam, Sharp compartilhou informações com a mídia enquanto fingia ser um denunciante e acusava a empresa de minimizar o incidente.

Isso fez com que o preço das ações da Ubiquiti caísse cerca de 20% , de $ 349 em 30 de março para $ 290 em 1 de abril, totalizando perdas de mais de $ 4 bilhões em capitalização de mercado.

"A SHARP subsequentemente vitimizou seu empregador, causando a publicação de artigos de notícias enganosos sobre como a empresa lidou com a violação que ele perpetrou, que foram seguidos por uma queda significativa no preço das ações da empresa associada à perda de bilhões de dólares em seu mercado capitalização ", o Departamento de Justiça (DOJ)  disse .

A empresa confirmou em 1º de abril que foi  alvo de uma tentativa de extorsão após uma violação de segurança em janeiro,  sem nenhuma indicação de que as contas dos clientes foram afetadas depois que Sharp (agindo como denunciante) desafiou a opinião de seu empregador sobre a violação,  dizendo que o impacto real do incidente foi maciço.

Ele também disse que a Ubiquiti não tinha um sistema de registro, o que os impedia de verificar quais dados ou sistemas o invasor acessou. Isso se alinha com as informações do DOJ sobre ele adulterar os sistemas de registro da empresa.

Embora o DOJ não tenha mencionado o empregador da Sharp no comunicado de imprensa de hoje ou na acusação, todos os detalhes se alinham perfeitamente com as informações anteriores sobre a violação da Ubiquiti e as informações apresentadas na conta do LinkedIn da Sharp .

Sharp é acusado de quatro acusações e pode enfrentar uma pena máxima de 37 anos de prisão se for considerado culpado.

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

Post a Comment