A Mandiant referiu-se ao hacker por trás dos ataques aos clientes da Snowflake como UNC5537, e o analista de inteligência de ameaças da empresa, Austin Larsen, descreve-o em uma declaração ao WIRED como “um dos atores de ameaça mais significativos de 2024”.
“A operação, que deixou organizações atordoadas com perdas significativas de dados e tentativas de extorsão, destacou a escala alarmante do dano que um único indivíduo pode causar usando ferramentas prontas para uso”, acrescenta Larsen.
Enquanto o hacker por trás dos nomes Waifu e Judische tem sido associado a uma identidade canadense por vários meses, acredita-se que não seja a única pessoa ligada aos incidentes da Snowflake. Como o WIRED noticiou em julho, o hacker americano John Binns esteve supostamente envolvido na violação relacionada à Snowflake da AT&T, que viu a empresa pagar mais de $300,000 para ter milhões de registros de clientes roubados deletados. A Unidade 221B, Nixon, diz que está ciente de outros membros da gangue cibernética que ainda estão foragidos.
De acordo com Nixon, Waifu, agora supostamente Moucka, emergiu de uma comunidade cibercriminosa conhecida como “the Com”, uma rede subterrânea de jovens hackers e trolls ativos em plataformas como Telegram e Discord e responsáveis por hacks e outros crimes digitais, incluindo ransomware, troca de SIM, roubo de criptomoedas, chantagem sexual e assédio. O grupo de ransomware conhecido como Scattered Spider, responsável por ataques de extorsão altamente disruptivos contra vítimas como MGM Entertainment e Caesars Entertainment, está entre vários subgrupos criminosos ligados ao Com. “São pessoas que tratam estatutos criminais como uma lista de verificação”, diz Nixon.
“Sei que ele está no Com há muito tempo, perto de uma década. Claramente, passou seus anos de adolescência sendo parte dessa cultura”, Nixon diz de Moucka, que ela diz ter agora 20 anos. “Quando as pessoas crescem no Com, é assim que acabam.”
Enquanto Nixon rastreava Waifu e seus associados ao longo do último ano, ela diz que, em determinado momento, houve um deslize de segurança operacional ou “opsec” que pode ter levado as autoridades a sua identidade – embora tenha se recusado a dizer qual foi o erro ou exatamente quando ocorreu. Waifu tentou posteriormente encobrir essa revelação acidental com pistas falsas e desinformação postadas no Telegram, o que ele descreveu como “envenenamento do poço”. Mas Nixon diz que as autoridades estavam cientes da identidade de Moucka desde pelo menos o início de julho. “Se você cometer um erro de opsec, está feito. Você não pode enterrá-lo sob um monte de bobagens que posta mais tarde”, diz Nixon. “Tudo o que foi alcançado é mostrar que ele sabia que o que estava fazendo estava errado.”
Enquanto a prisão de Moucka está longe de ser o fim do Com, Nixon diz que vê isso como um movimento potencialmente importante em resposta ao caos que a rede criminosa maior tem infligido. Waifu, segundo ela, foi um exemplo de um princípio maior que ela observou no mundo cibercriminoso, de que uma pequena minoria de criminosos muitas vezes são os responsáveis pela maioria dos danos.
“Este caso em particular é significativo porque eles pegaram um dessa pequena minoria que causa um dano desproporcional”, diz ela. “É por isso que este é um bom começo. Precisamos prender mais desses atores desproporcionalmente prejudiciais.”
Atualizado às 3:55 pm EST, 5 de novembro de 2024: Adicionada uma declaração da Mandiant.
