Exempleado molesto robó datos de su empresa, pidió $2 millones de dólares en BTC para no revelar vulneración de seguridad e hizo caer un 20% el valor de las acciones.

Ex empleado de una empresa de tecnología acusado de robar datos confidenciales y extorsionar a la empresa para obtener un rescate mientras se hacía pasar por un atacante anónimo

Damian Williams, Fiscal de los Estados Unidos para el Distrito Sur de Nueva York, y Michael J. Driscoll, Subdirector a Cargo de la Oficina de Nueva York del Buró Federal de Investigaciones (“FBI”), anunciaron hoy el arresto de Nickolas Sharp por robar en secreto gigabytes de archivos confidenciales de una empresa de tecnología con sede en Nueva York donde trabajaba (“Company-1”), y luego, mientras supuestamente trabajaba para remediar la brecha de seguridad, extorsionar a la empresa por casi $2 millones de dólares por la devolución de los archivos y la identificación de una supuesta vulnerabilidad restante.

Posteriormente, Sharp volvió a victimizar a su empleador al provocar la publicación de artículos de noticias engañosos sobre el manejo de la empresa de la infracción que perpetró, que fueron seguidos por una caída significativa en el precio de las acciones de la empresa asociada con la pérdida de miles de millones de dólares en su capitalización de mercado. .

Sharp fue arrestado hoy temprano en el Distrito de Oregon y será presentado esta tarde ante el Juez Magistrado de los Estados Unidos John V. Acosta. El caso fue asignado a la jueza federal de distrito Katherine Polk Failla.

El fiscal federal Damian Williams dijo: “Como se alega, Nickolas Sharp aprovechó su acceso como información privilegiada de confianza para robar gigabytes de datos confidenciales de su empleador y luego, haciéndose pasar por un pirata informático anónimo, envió a la compañía una demanda de rescate de casi $2 millones de dólares. Como se alega además, después de que el FBI registró su casa en relación con el robo, Sharp, que ahora se hace pasar por un denunciante anónimo de la empresa, plantó noticias dañinas que afirman falsamente que el robo había sido realizado por un pirata informático habilitado por una vulnerabilidad en los sistemas informáticos de la empresa. Ahora el supuesto robo y las mentiras han sido expuestos, y Sharp enfrenta serios cargos federales “.

El subdirector del FBI, Michael J. Driscoll, dijo: “Alegamos que el Sr. Sharp creó un complot retorcido para extorsionar a la empresa para la que trabajaba utilizando su tecnología y datos en su contra. No solo supuestamente violó varias leyes federales, sino que también orquestó la divulgación de información a los medios cuando no se cumplieron sus demandas de rescate. Cuando lo confrontaron, mintió a los agentes del FBI. El Sr. Sharp pudo haber creído que era lo suficientemente inteligente como para llevar a cabo su plan, pero una simple falla técnica terminó con sus sueños de hacerse rico”.

Según la acusación revelada hoy en la corte federal de Manhattan:

En todo momento relevante para la acusación, Company-1 era una empresa de tecnología con sede en Nueva York que fabricaba y vendía productos de comunicaciones inalámbricas, y cuyas acciones se cotizaban en la Bolsa de Valores de Nueva York. Nickolas Sharp, el demandado, fue empleado de Company-1 desde agosto de 2018 o aproximadamente hasta el 1 de abril de 2021 inclusive. Sharp era un desarrollador sénior que tenía acceso a las credenciales de los servicios web de Amazon de Company-1 (“AWS ”) Y servidores de GitHub Inc. (“GitHub”).

Aproximadamente en diciembre de 2020, Sharp abusó repetidamente de su acceso administrativo para descargar gigabytes de datos confidenciales de su empleador. Para la mayor parte de este incidente de ciberseguridad (el “Incidente”), Sharp utilizó un servicio de red privada virtual al que se suscribió desde una empresa llamada Surfshark para enmascarar su dirección de Protocolo de Internet (“IP”) cuando accedió a AWS y GitHub de Company-1 Infraestructura sin autorización. En un momento durante la exfiltración de los datos de la Compañía 1, la dirección IP de la casa de Sharp se desenmascaró luego de una interrupción temporal de Internet en la casa de Sharp.

Durante el transcurso del Incidente, Sharp causó daños a los sistemas informáticos de la Compañía-1 al alterar las políticas de retención de registros y otros archivos, para ocultar su actividad no autorizada en la red. Aproximadamente en enero de 2021, mientras trabajaba en un equipo para remediar los efectos del Incidente, Sharp envió una nota de rescate a la Compañía-1, haciéndose pasar por un atacante anónimo que afirmó haber obtenido acceso no autorizado a las redes informáticas de la Compañía-1. La nota de rescate buscaba 50 Bitcoin, una criptomoneda, que era el equivalente a aproximadamente $1.9 millones de dólares, según el tipo de cambio vigente en ese momento, a cambio de la devolución de los datos robados y la identificación de una supuesta “puerta trasera” o vulnerabilidad en los sistemas informáticos de la Compañía-1. Después de que Company-1 rechazó la demanda, Sharp publicó una parte de los archivos robados en una plataforma en línea de acceso público.

El 24 de marzo de 2021 o alrededor de esa fecha, los agentes del FBI ejecutaron una orden de registro en la residencia de Sharp en Portland, Oregon, y se incautaron de ciertos dispositivos electrónicos pertenecientes a Sharp. Durante la ejecución de esa búsqueda, Sharp hizo numerosas declaraciones falsas a los agentes del FBI, incluyendo, entre otras cosas, en esencia, que él no era el autor del Incidente y que no había utilizado Surfshark VPN antes del descubrimiento del Incidente. Cuando se enfrentó a registros que demostraban que Sharp compró el servicio Surfshark VPN en julio de 2020, aproximadamente seis meses antes del Incidente, Sharp declaró falsamente, en parte y en esencia, que alguien más debió haber usado su cuenta PayPal para realizar la compra.

Varios días después de que el FBI ejecutó la orden de registro en la residencia del acusado, Sharp hizo que se publicaran noticias falsas sobre el Incidente y la respuesta de la Compañía-1 al Incidente y las divulgaciones relacionadas. En esas historias, Sharp se identificó a sí mismo como un denunciante anónimo dentro de la Compañía-1 que había trabajado para remediar el Incidente. En particular, Sharp afirmó falsamente que la Compañía-1 había sido pirateada por un perpetrador no identificado que de forma maliciosa obtuvo acceso de administrador raíz a las cuentas de AWS de la Compañía-1. De hecho, Sharp había tomado los datos de Company-1 utilizando credenciales a las que tenía acceso en su rol como administrador de la nube de AWS de Company-1, y Sharp había utilizado esos datos en un intento fallido de extorsionar a Company-1 por millones de dólares.

Después de la publicación de estos artículos, entre el 30 de marzo de 2021 y el 31 de marzo de 2021, el precio de las acciones de la Compañía-1 cayó aproximadamente un 20%, perdiendo más de $4 mil millones de dólares en capitalización de mercado.

Sharp, de 36 años, originario de Portland, Oregon, está acusado de cuatro cargos. El primer cargo lo acusa de transmitir un programa a una computadora protegida que causó daños intencionalmente, lo que conlleva una pena máxima de 10 años de prisión. El segundo cargo acusa la transmisión de una amenaza interestatal, que conlleva una sentencia máxima de dos años de prisión. El tercer cargo acusa de fraude electrónico, que conlleva una sentencia máxima de 20 años de prisión. El cuarto cargo acusa la realización de declaraciones falsas al FBI, que conlleva una sentencia máxima de cinco años de prisión. Las sentencias máximas potenciales son prescritas por el Congreso y se proporcionan aquí solo con fines informativos, ya que el juez determinará cualquier sentencia del acusado.

Este caso está a cargo de la Unidad de Delitos Cibernéticos y Fraudes Complejos de la Oficina. El fiscal federal adjunto Vladislav Vainberg está a cargo de la acusación. Los cargos contenidos en la acusación son meras acusaciones, y el acusado se presume inocente a menos que se pruebe su culpabilidad.

En todas mis conferencias sobre “Derecho de la Seguridad de la Información” siempre incluyo casi al final la pregunta “¿Quién es la persona/departamento más peligroso de cualquier empresa?“. La respuesta ha quedado manifiesta en esta y en muchas otras notas similares. Basta recordar el caso de Sudhish Kasaba Ramesh (agosto 2020), cinco meses después de dejar de trabajar para el proveedor de redes, un ex trabajador de Cisco admitió haber accedido al entorno de AWS del proveedor y haber eliminado 456 máquinas virtuales utilizadas para ejecutar la aplicación WebEx Teams. Los daños que sufrió CISCO se estiman en $4 millones de dólares.

Con información de: USA Department of Justice.

Presidente en Academia Mexicana de Derecho Informático, A.C. | + publicaciones

Abogado Digital desde 1996. Egresado del Tec de Monterrey y de la Universidad de Arizona. Presidente Fundador de la Academia Mexicana de Derecho Informático, A.C. (2001). Socio Fundador y Director de Lex Informática Abogados, S.C. (2011). Director Fundador de la Escuela de Derecho Digital, A.C. Vicepresidente Jurídico del Consejo de Seguridad de la Información y Ciberseguridad, A.C. Profesor de programas de licenciatura y posgrado del ITESM (1998), la Universidad Panamericana (2001), Escuela Libre de Derecho (2019), UDLAP Jenkins Graduate School (2019), IIJ de la UNAM (2020), Universidad de Monterrey (2020) y del Tribunal Federal de Justicia Administrativa (2021).

Encuéntrame en: https://JoelGomez.Abogado.Digital.

Sígueme en Twitter: @AbogadoDigital.

Envíame un Telegram: https://t.me/Abogado_Digital.

Entradas relacionadas

Más
error: Contenido protegido