O ex-integrante do Exército norte-americano Cameron John Wagenius declarou-se culpado por invadir sistemas de telecomunicações e tentar extorquir empresas ao ameaçar divulgar informações obtidas ilegalmente. O anúncio foi feito pelo Departamento de Justiça dos Estados Unidos (DOJ) nesta terça-feira.
De acordo com a acusação formal, Wagenius, que atuava na internet sob o pseudônimo kiberphant0m, participou de um esquema que mirou pelo menos dez companhias do setor. O grupo roubou credenciais de acesso por meio de ataques de força bruta e outras técnicas de invasão, armazenou esses dados e os repassou em chats no Telegram voltados a cibercriminosos. Além de compartilhar informações de login, os participantes discutiam detalhes dos ataques e planejavam novas ações ilícitas.
Os promotores indicam que, após obter os dados, Wagenius e seus cúmplices tentaram extorquir as vítimas de forma privada e também em fóruns de hackers, entre eles o BreachForums. Em algumas ocasiões, parte das informações foi posta à venda. O material roubado também serviu para outras fraudes, como a prática de SIM swapping, que consiste em transferir o número de telefone de uma pessoa para um chip controlado pelos criminosos, permitindo acesso a contas bancárias ou de redes sociais protegidas por autenticação de dois fatores.
O réu já havia assumido culpa, no início deste ano, por invasões específicas contra as operadoras AT&T e Verizon. Nesses casos, ele obteve um grande volume de registros de chamadas, ampliando o impacto do vazamento. As autoridades apontam que o envolvimento de Wagenius vai além dessas duas companhias e está associado a uma série de ataques que tiveram origem em um incidente de segurança na Snowflake, empresa de computação em nuvem.
Segundo o DOJ, a conspiração afetou dez corporações, embora os nomes das demais não tenham sido divulgados. A investigação também encontrou evidências de que credenciais roubadas foram usadas para acessar redes internas de outras organizações, permitindo a coleta de informações sensíveis e a exigência de pagamentos em troca do não vazamento dos dados.
Wagenius foi formalmente acusado de conspiração para cometer fraude eletrônica, invasão de computador e extorsão. Cada um desses crimes pode resultar em penas severas. A audiência de sentença está marcada para 6 de outubro. Caso o juiz aplique o máximo previsto, o acusado poderá cumprir até 20 anos de prisão.
O caso reforça o alerta das autoridades sobre a circulação de credenciais corporativas em canais de mensagens e fóruns clandestinos. O DOJ destacou na nota que ferramentas de força bruta e engenharia social continuam sendo empregadas para comprometer sistemas de autenticação, especialmente quando as empresas mantêm senhas fracas ou reutilizadas.
Especialistas em segurança ouvidos pelo governo apontam que a cooperação internacional foi decisiva para rastrear as transações de criptomoedas ligadas aos pagamentos exigidos pelos acusados e identificar a estrutura usada para armazenar dados roubados. As investigações também contaram com apoio de provedores de telecomunicações e de serviços em nuvem, que cruzaram registros de acesso e ajudaram a reconstruir o caminho dos invasores nos sistemas afetados.
Além da pena de prisão, Wagenius poderá ser condenado a ressarcir os prejuízos sofridos pelas empresas atingidas, incluindo custos de resposta a incidentes, auditorias forenses e notificações a clientes. O valor total das perdas ainda será calculado e apresentado ao tribunal antes da sentença.
O DOJ informou que as apurações seguem em andamento para identificar outros participantes do esquema. Investigadores monitoram fóruns clandestinos e analisam material apreendido em buscas anteriores, buscando rastrear negociações relacionadas aos dados roubados e possíveis compradores que tenham se beneficiado das invasões.
