Peretas pemerasan Snowflake mungkin seorang tentara AS

• Dua pria telah ditangkap atas tuduhan mencuri data dan melakukan pemerasan terhadap sejumlah perusahaan yang menggunakan perusahaan penyimpanan data cloud Snowflake. Namun, peretas ketiga bernama Kiberphant0m masih aktif dan secara terbuka mengancam para korban. Identitas Kiberphant0m diduga adalah seorang prajurit Angkatan Darat AS yang kemungkinan baru-baru ini ditempatkan di Korea Selatan.

• Kiberphant0m menjual data pelanggan Snowflake di berbagai forum kejahatan siber serta kanal Telegram dan Discord. Pada akhir 2023, para peretas menemukan bahwa banyak perusahaan mengunggah data pelanggan sensitif ke akun Snowflake, dan akun-akun ini hanya dilindungi oleh nama pengguna dan kata sandi sederhana.

• Setelah mendapatkan kredensial akun Snowflake yang dicuri, para peretas mulai menyusupi repositori data milik perusahaan-perusahaan terbesar di dunia. Salah satunya adalah AT&T, yang pada bulan Juli mengungkap bahwa informasi pribadi sekitar 110 juta orang serta catatan panggilan telepon dan pesan teks telah dicuri.

• Otoritas Kanada menangkap Alexander Moucka pada 30 Oktober, dan ia didakwa atas 20 tuduhan pidana terkait peretasan Snowflake. Tersangka lainnya, John Erin Binns, saat ini ditahan di Turki.

• Sesaat setelah kabar penangkapan Moucka tersebar, Kiberphant0m mengunggah catatan panggilan milik presiden terpilih Donald J. Trump dan wakil presiden Kamala Harris dari AT&T ke komunitas peretas BreachForums sambil melontarkan ancaman.

• Kiberphant0m juga menjual catatan panggilan pelanggan push-to-talk (PTT) Verizon, serta menawarkan layanan "SIM swapping" yang menargetkan pelanggan Verizon PTT.

Pengenalan ‘BUTTHOLIO’

• Kiberphant0m bergabung dengan BreachForums pada Januari 2024, sementara aktivitasnya di kanal Discord dan Telegram setidaknya sudah dimulai sejak awal 2022. Dalam posting pertamanya di BreachForums, ia mengatakan bisa dihubungi lewat handle Telegram @cyb3rph4nt0m.

• @cyb3rph4nt0m telah memposting lebih dari 4.200 pesan sejak Januari 2024, dan banyak di antaranya merupakan upaya merekrut orang untuk menyebarkan malware yang menginfeksi mesin host ke botnet IoT.

• Kiberphant0m menjual source code botnet DDoS Linux " Shi-Bot " yang berbasis malware Mirai di BreachForums.

‘REVERSESHELL’

• @Kiberphant0m diidentifikasi dengan Telegram ID 6953392511, dan menurut data Flashpoint, ia memposting di kanal Dstat pada 4 Januari 2024. Kanal ini menjadi tempat berkumpul para pelaku kejahatan siber yang menjalankan serangan DDoS dan menjual layanan sewa DDoS.

• Menurut data Flashpoint, pada 10 April 2024 @kiberphant0m memberi tahu anggota lain di Dstat bahwa nama pengguna Telegram alternatifnya adalah " @reverseshell ".

• Pada 15 November 2022, @reverseshell menyatakan di kanal Telegram Cecilio Chat bahwa dirinya adalah seorang prajurit Angkatan Darat AS.

PROMAN DAN VARS_SECC

• Flashpoint menyatakan bahwa Telegram ID 5408575119 telah menggunakan beberapa alias, termasuk Reverseshell dan Proman557, sejak 2022.

• Intel 471 mengatakan nama Proman557 adalah salah satu pihak yang menjual berbagai malware botnet berbasis Linux di forum peretasan berbahasa Rusia Exploit pada 2022.

BUG BOUNTIES

• Vars_Secc mengklaim pada Mei 2023 di Telegram bahwa ia menghasilkan uang dengan mengirim laporan cacat perangkat lunak melalui HackerOne. HackerOne adalah perusahaan yang membantu perusahaan teknologi menangani laporan kerentanan keamanan pada produk dan layanan mereka.

• Vars_Secc mengklaim telah menerima bug bounty dari lebih dari 30 organisasi, termasuk reddit.com, Departemen Pertahanan AS, dan Coinbase.

• Berbagai identitas Kiberphant0m sangat mengindikasikan bahwa ia mungkin seorang prajurit Angkatan Darat AS yang hingga baru-baru ini ditempatkan di Korea Selatan. Identitas-identitas lain Kiberphant0m tidak menyebut pangkat militer, resimen, atau spesialisasi, tetapi kemampuan komputer dan jaringannya mungkin telah menarik perhatian di lingkungan militer.