.
Um ex-funcionário da Ubiquiti Networks acusado de tramar um plano elaborado para primeiro roubar quase US$ 2 milhões de seu empregador, extorquir mais e, posteriormente, orquestrar uma campanha de difamação contra a empresa, se declarou culpado de várias acusações criminais na quinta-feira.
Nickolas Sharp, 36, de Portland Oregon agora enfrenta um máximo de 35 anos de prisão depois de se defender de uma acusação de transmissão de um programa para um computador protegido que intencionalmente causou danos, uma acusação de fraude eletrônica e uma acusação de fazer declarações falsas ao FBI.
“A empresa de Nickolas Sharp confiou a ele informações confidenciais que ele explorou e manteve como resgate. Adicionando insulto à injúria, quando Sharp não recebeu seus pedidos de resgate, ele retaliou fazendo com que notícias falsas fossem publicadas sobre a empresa, o que resultou no roubo de sua empresa. capitalização de mercado despencando em mais de US$ 4 bilhões”, disse o procurador dos EUA, Damian Williams, em um declaração Quinta-feira. “A confissão de culpa de Sharp hoje garante que ele enfrentará as consequências de suas ações destrutivas.”
A história bizarra por trás do caso Sharp é matéria de pesadelos do CISO. Como nós anteriormente relatado na época, a Sharp foi acusada em conexão com o roubo de dados de alto perfil da Ubiquiti e tentativa de resgate no final de 2021.
Os promotores acusaram Sharp – que trabalhava como líder de nuvem para o fornecedor de comutação sem fio e LAN de acordo com seu perfil do LinkedIn – de usar sua posição e acesso administrativo às instâncias de nuvem AWS da empresa e repositório GitHub para exfiltrar gigabytes de dados para sua rede doméstica.
Enquanto uma equipe na qual ele trabalhava investigava a violação, os promotores dizem que Sharp enviou uma nota de resgate exigindo 50 Bitcoins – no valor de cerca de US$ 1,9 milhão na época – pela devolução dos dados e para identificar o backdoor usado para adquiri-los. Quando a Ubiquiti se recusou a ceder às suas exigências, a Sharp vazou alguns dos dados para o público.
Sharp poderia ter conseguido se não fosse por sua confiança de que o Surfshark VPN – comprado usando sua conta pessoal do PayPal – protegeria sua identidade. De acordo com os promotores, ao exfiltrar dados dos repositórios GitHub da Ubiquiti, seu endereço IP residencial foi revelado após uma breve interrupção da Internet.
Em março de 2021, agentes do FBI realizaram uma busca na casa de Sharp em conexão com o hack e apreenderam dispositivos eletrônicos. Durante a investigação, Sharp negou qualquer conhecimento de envolvimento no caso e fez “inúmeras” declarações falsas aos agentes do FBI, incluindo que nunca havia usado o Surfshark VPN.
Quando pressionado sobre o assunto, Sharp afirmou que “alguém deve ter usado sua conta do PayPal para fazer a compra”, segundo os promotores. A velha desculpa, a outra fez.
Mas, em vez de se esconder nos dias que se seguiram à invasão do FBI, Sharp começou a entrar em contato com a imprensa se passando por um denunciante e difamando a maneira como seu empregador lidou com a violação. Sua falsa narrativa circulou amplamente, acabando por cortar bilhões da capitalização de mercado da Ubiquiti.
O tribunal federal de Manhattan agendou uma audiência de sentença para 10 de maio. ®
.
