Un ancien employé d’une société technologique accusé d’avoir volé des données confidentielles et d’avoir extorqué une rançon à une société en se faisant passer pour un attaquant anonyme | USAO-SDNY

Damian Williams, procureur des États-Unis pour le district sud de New York, et Michael J. Driscoll, directeur adjoint en charge du bureau de New York du Federal Bureau of Investigation (« FBI »), ont annoncé aujourd’hui l’arrestation de NICKOLAS. SHARP pour avoir secrètement volé des gigaoctets de fichiers confidentiels à une entreprise technologique basée à New York où il était employé (« Entreprise 1 »), puis, alors qu’il travaillait prétendument à remédier à la faille de sécurité, extorquant à l’entreprise près de 2 millions de dollars pour le retour des fichiers et l’identification d’une prétendue vulnérabilité restante. SHARP a ensuite de nouveau victimisé son employeur en provoquant la publication d’articles de presse trompeurs sur la gestion par l’entreprise de l’infraction qu’il a commise, qui ont été suivis d’une baisse significative du cours de l’action de l’entreprise associée à la perte de milliards de dollars de sa capitalisation boursière. .

SHARP a été arrêté plus tôt dans la journée dans le district de l’Oregon et sera présenté cet après-midi devant le juge d’instance américain John V. Acosta. L’affaire a été confiée à la juge de district américaine Katherine Polk Failla.

Le procureur américain Damian Williams a déclaré : « Comme allégué, Nickolas Sharp a exploité son accès en tant qu’initié de confiance pour voler des gigaoctets de données confidentielles à son employeur, puis, se faisant passer pour un pirate informatique anonyme, a envoyé à l’entreprise une demande de rançon de près de 2 millions de dollars. Comme allégué en outre, après que le FBI a perquisitionné son domicile en lien avec le vol, Sharp, se faisant maintenant passer pour un dénonciateur anonyme d’une entreprise, a déposé des articles de presse préjudiciables affirmant à tort que le vol avait été commis par un pirate informatique activé par une vulnérabilité dans les systèmes informatiques de l’entreprise. . Maintenant, le vol et les mensonges présumés ont été révélés, et Sharp fait face à de graves accusations fédérales. »

Le directeur adjoint du FBI, Michael J. Driscoll, a déclaré : « Nous prétendons que M. Sharp a créé un complot tordu pour extorquer l’entreprise pour laquelle il travaillait en utilisant sa technologie et ses données contre elle. Non seulement il aurait enfreint plusieurs lois fédérales, mais il a orchestré la divulgation d’informations aux médias lorsque ses demandes de rançon n’ont pas été satisfaites. Lorsqu’il a été confronté, il a ensuite menti aux agents du FBI. M. Sharp a peut-être cru qu’il était assez intelligent pour mettre son plan à exécution, mais un simple problème technique a mis fin à ses rêves de devenir riche.

Selon l’acte d’accusation dévoilé aujourd’hui devant le tribunal fédéral de Manhattan[1]:

À tout moment pertinent pour l’acte d’accusation, Company-1 était une société de technologie dont le siège est à New York qui fabriquait et vendait des produits de communication sans fil, et dont les actions étaient négociées à la Bourse de New York. NICKOLAS SHARP, le défendeur, a été employé par Company-1 à partir d’août 2018 ou vers cette date jusqu’au 1er avril 2021 ou vers cette date. SHARP était un développeur senior qui avait accès aux informations d’identification pour les services Web Amazon de Company-1 (« AWS « ) et les serveurs GitHub Inc. ( » GitHub « ).

Vers décembre 2020, SHARP a abusé à plusieurs reprises de son accès administratif pour télécharger des gigaoctets de données confidentielles de son employeur. Pour la majorité de cet incident de cybersécurité (l’« Incident »), SHARP a utilisé un service de réseau privé virtuel auquel il s’est abonné auprès d’une société nommée Surfshark pour masquer son adresse de protocole Internet (« IP ») lorsqu’il a accédé à l’AWS et à GitHub de la société-1. infrastructures sans autorisation. À un moment donné au cours de l’exfiltration des données de la société 1, l’adresse IP du domicile de SHARP a été démasquée à la suite d’une panne Internet temporaire au domicile de SHARP.

Au cours de l’incident, SHARP a endommagé les systèmes informatiques de la société 1 en modifiant les politiques de conservation des journaux et d’autres fichiers, afin de dissimuler son activité non autorisée sur le réseau. Vers janvier 2021, alors qu’il travaillait au sein d’une équipe pour remédier aux effets de l’incident, SHARP a envoyé une demande de rançon à la société-1, se faisant passer pour un attaquant anonyme qui prétendait avoir obtenu un accès non autorisé aux réseaux informatiques de la société-1. La demande de rançon recherchait 50 Bitcoin, une crypto-monnaie – qui équivalait à environ 1,9 million de dollars, sur la base du taux de change en vigueur à l’époque – en échange de la restitution des données volées et de l’identification d’une prétendue « porte dérobée » ou vulnérabilité. , aux systèmes informatiques de Company-1. Après que la société 1 a refusé la demande, SHARP a publié une partie des fichiers volés sur une plate-forme en ligne accessible au public.

Le ou vers le 24 mars 2021, des agents du FBI ont exécuté un mandat de perquisition au domicile de SHARP à Portland, Oregon, et ont saisi certains appareils électroniques appartenant à SHARP. Lors de l’exécution de cette perquisition, SHARP a fait de nombreuses fausses déclarations aux agents du FBI, notamment, entre autres, en substance, qu’il n’était pas l’auteur de l’Incident et qu’il n’avait pas utilisé Surfshark VPN avant la découverte de l’Incident. Confronté à des documents démontrant que SHARP a acheté le service VPN Surfshark en juillet 2020, environ six mois avant l’incident, SHARP a faussement déclaré, en partie et en substance, que quelqu’un d’autre avait dû utiliser son compte PayPal pour effectuer l’achat.

Plusieurs jours après que le FBI a exécuté le mandat de perquisition à la résidence de SHARP, SHARP a fait publier de fausses informations sur l’incident et la réponse de la société-1 à l’incident et aux divulgations connexes. Dans ces histoires, SHARP s’est identifié comme un dénonciateur anonyme au sein de la société 1 qui avait travaillé à la résolution de l’incident. En particulier, SHARP a faussement affirmé que la société-1 avait été piratée par un auteur non identifié qui avait obtenu par malveillance un accès administrateur racine aux comptes AWS de la société-1. En fait, comme SHARP le savait bien, SHARP avait pris les données de la société-1 à l’aide des informations d’identification auxquelles il avait accès dans son rôle d’administrateur du cloud AWS de la société-1, et SHARP avait utilisé ces données dans une tentative infructueuse d’extorquer la société-1 pour des millions de personnes. de dollars.

À la suite de la publication de ces articles, entre le 30 mars 2021 et le 31 mars 2021, le cours de l’action de Company-1 a chuté d’environ 20 %, perdant plus de 4 milliards de dollars de capitalisation boursière.

SHARP, 36 ans, de Portland, Oregon, est inculpé de quatre chefs d’accusation. Le premier chef l’accuse d’avoir transmis un programme à un ordinateur protégé ayant intentionnellement causé des dommages, passible d’une peine maximale de 10 ans de prison. Le deuxième chef d’accusation porte sur la transmission d’une menace interétatique, passible d’une peine maximale de deux ans de prison. Le troisième chef d’accusation est une fraude électronique, passible d’une peine maximale de 20 ans de prison. Le quatrième chef d’accusation est accusé d’avoir fait de fausses déclarations au FBI, passible d’une peine maximale de cinq ans de prison. Les peines maximales potentielles sont prescrites par le Congrès et sont fournies ici à titre informatif uniquement, car toute condamnation du défendeur sera déterminée par le juge.

M. Williams a salué le travail extraordinaire du FBI.

Cette affaire est traitée par l’Unité des fraudes complexes et de la cybercriminalité du Bureau. Le procureur adjoint américain Vladislav Vainberg est en charge des poursuites.

Les charges contenues dans l’Acte d’accusation ne sont que des accusations, et l’accusé est présumé innocent tant que sa culpabilité n’a pas été prouvée.