Канадските власти съобщават, че са арестували лице, заподозряно в организирането на мащабна кампания, довела до компрометирането на акаунти Snowflake, принадлежащи на 165 организации.

Кампанията излезе наяве в края на май, след като Snowflake предупреди, че ограничен брой клиенти, чиито акаунти не са защитени с многофакторна автентикация, са били обект на заплахи.

През юни Mandiant, която участваше в разследването на атаките, разкри, че нападателите са използвали пълномощия, компрометирани при предишни инфекции с крадци на информация, за да получат достъп до неправилно защитените акаунти.

Кампанията, която се приписва на заплахата, проследена като UNC5537, започна на 14 април и засегна организации като Ticketmaster, Santander Bank, Anheuser-Busch, Allstate, Advance Auto Parts, Mitsubishi, Neiman Marcus, Progressive, AT&T и State Farm.

По-късно бе съобщено, че нападателите са поискали от жертвите на организациите откуп между 300 000 и 5 млн. долара в замяна на изтриване на данните, откраднати от акаунтите им в Snowflake.

На 30 октомври канадските власти арестуваха Александър „Конър“ Мука след искане от САЩ във връзка с кампанията Snowflake, според доклади на Bloomberg и 404 Media. Предвижда се той да се яви в съда във вторник.

Канадските власти не споделиха информация за ареста на Мука или за потенциалната му екстрадиция, но запознати с въпроса лица потвърдиха, че той е отговорен за хакерските атаки на Snowflake. Съобщава се, че Мука е бил известен онлайн като Judische и Waifu.

През май Judische се е похвалил в Telegram, че е хакнал няколко известни жертви на Snowflake точно преди хакването да бъде публично потвърдено, съобщи разследващият журналист Брайън Кребс през септември, като отбеляза, че Waifu е един от най-успешните подменници на SIM карти, известни в ъндърграунд форумите.

Кребс също така отбеляза през септември, че Judische е 26-годишен софтуерен инженер от Онтарио, Канада.

Друго лице, за което се смята, че е участвало в хакерските атаки на Snowflake, а именно Джон Ерин Бинс, е било арестувано в Турция. Бинс беше обвинен в САЩ за нарушаването на сигурността на данните на T-Mobile през 2021 г.

„UNC5537“, известен още като Александър „Конър“ Мука, се оказа един от най-последствените киберпрестъпници  през 2024 г. През април 2024 г. UNC5537 стартира кампания, като систематично компрометира неправилно конфигурирани SaaS инстанции в над сто организации. Операцията, която остави организациите да се разминат със значителна загуба на данни и опити за изнудване, подчерта тревожния мащаб на вредите, които едно лице може да причини, използвайки готови инструменти“, заяви старши анализаторът на заплахите в Mandiant Остин Ларсен.

„Този арест служи като възпиращ фактор за киберпрестъпниците и потвърждава, че действията им имат сериозни последици“, добави Ларсен.

С ареста на Бинс в Турция двамата заподозрени в кампанията Snowflake вече са задържани, но говорител на Mandiant посочи, че притежаваната от Google фирма за сигурност продължава да реагира на многобройни прониквания, извършени с помощта на откраднати пълномощни, и че крадците на информация представляват значителна заплаха за организациите по целия свят.