Campagne Snowflake : arrestation d’un assaillant au Canada

Fin mai, la nouvelle tombait, retentissante : des données de plusieurs centaines de milliers de clients de Ticketmaster auraient été mises en vente par un cybercriminel. Le même assurerait disposer de données relatives à quelques dizaines de millions de clients de Santander.

Dans la foulée, des acteurs malveillants disaient avoir obtenu 3 To de données d’Advance Auto Parts, un revendeur de pièces détachées automobiles d’Amérique du Nord. Celles-ci auraient été obtenues dans le cadre d’une vaste campagne visant les clients de Snowflake. Comme pour Ticketmaster et Santander. 

Pure Storage s’est également dit affecté. En tout, selon Mandiant, pas moins de 165 clients de Snowflake auraient été concernés par une vaste campagne de piratage.

Selon Mandiant, l’acteur impliqué aurait obtenu « un accès aux instances de clients Snowflake de plusieurs organisations par le biais d’informations d’identification de clients volées. Ces informations d’identification ont été obtenues principalement à partir de plusieurs campagnes de logiciels malveillants, de type infostealer, qui ont infecté des systèmes n’appartenant pas à Snowflake ». 

Un suspect vient d’être arrêté au Canada. C’est BNN Bloomberg qui l’a révélé en premier : « les autorités canadiennes ont arrêté un homme soupçonné d’être à l’origine d’une série de piratages impliquant jusqu’à 165 clients de Snowflake selon des personnes au fait de l’affaire ».

Selon nos confrères, l’intéressé est Alexander « Connor » Moucka. Il a été placé en détention provisoire le 30 octobre. Ce qui apparaît corroboré par 404 Media, qui ajoute le pseudonyme de l’intéressé (Judische), avec lequel les dernières communications remontent au 27 octobre. Il a, lors de celles-ci, exprimé ses inquiétudes d’une prochaine arrestation : « j’ai détruit beaucoup de preuves et j’ai bien empoisonné les choses que je ne peux pas détruire, donc quand/si cela arrive, ce n’est qu’une conspiration que je peux lier et battre », a-t-il indiqué à nos confrères.

Cette interpellation d’inscrit dans un contexte d’activité judiciaire croissante contre les cybercriminels. Tout récemment, l’opération Magnus a touché les infostealers Redline et Meta.

Elle constituait la troisième opération judiciaire de grande ampleur en 2024 contre l’écosystème cybercriminel. Dévoilée fin février, l’opération Cronos a fortement affecté l’activité de la franchise de rançongiciel LockBit 3.0. Mais son impact s’est fait ressentir au-delà, laissant un monde du ransomware plus fragmenté que jamais. Elle a également conduit à quatre premières arrestations.

Quelques mois plus tard, l’opération Endgame frappait un autre point de départ de cyberattaques : des botnets dont l’activité est très fortement liée aux cyberattaques débouchant sur le déclenchement de rançongiciels..