Die kanadischen Strafverfolgungsbehörden verhafteten Alexander „Connor“ Moucka. Der kanadische Staatsbürger steht hinter einer weit verbreiteten Kampagne, die gestohlene Anmeldeinformationen nutzte, um falsch konfigurierte SaaS-Instanzen in mehr als 100 Unternehmen und Organisationen weltweit zu kompromittieren (Mandiant verfolgt diesen Bedrohungscluster als UNC5537).
Da sein Mitverschwörer John Binns Anfang des Jahres ebenfalls von türkischen Behörden verhaftet wurde, bedeutet dies, dass beide für diese Kampagne verantwortlichen Bedrohungsakteure in Gewahrsam sind.
Kommentare von Mandiant-Experten
„UNC5537 alias Alexander ‘Connor’ Moucka hat sich als einer der folgenreichsten Bedrohungsakteure des Jahres 2024 erwiesen. Im April 2024 startete UNC5537 eine Kampagne, bei der er systematisch falsch konfigurierte SaaS-Instanzen in über hundert Unternehmen kompromittierte. Die Operation, bei der Unternehmen erhebliche Datenverluste und Erpressungsversuche hinnehmen mussten, zeigt das alarmierende Ausmaß des Schadens, den eine einzelne Person mit handelsüblichen Tools anrichten kann. Diese Verhaftung dient als Abschreckung für Cyberkriminelle und macht klar, dass ihre Handlungen ernsthafte Konsequenzen haben.“ – Austin Larsen, Mandiant Senior Threat Analyst, Google Cloud
„Mandiant reagiert weiterhin auf einen hohen Anteil von Angriffen, bei denen der anfängliche Zugriff über gestohlene Zugangsdaten erfolgte. Diese werden häufig durch Phishing-E-Mails, Infostealer-Malware oder den Erwerb über Akteure erlangt, die diese Methoden verwenden. Diese Malware-Kategorie wurde nicht nur von UNC5537, sondern auch von vielen finanziell motivierten Eindringlingen wie UNC3944 und UNC3661 verwendet. Die breite Nutzung von Infostealern in Erpressungsoperationen sowie das anhaltende Interesse an Infostealern in Untergrund-Communitys verdeutlichen ihre erhebliche, dauerhafte Bedrohung für Unternehmen weltweit.“ – Mandiant
(vp/Mandiant)