17/07/25
21-летний Кэмерон Джон Вагениус, последний раз проходивший службу в Техасе, в период с апреля 2023 года по декабрь 2024 года участвовал в преступной группировке, которая целенаправленно взламывала корпоративные базы данных, получала несанкционированный доступ к конфиденциальной информации и угрожала её публикацией, если не будут выплачены крупные суммы.
Вагениус действовал под псевдонимом «kiberphant0m» и взаимодействовал с другими участниками через Telegram. Там они обменивались украденными логинами и обсуждали доступ к закрытым сетям компаний. Для получения доступа к защищённым системам использовались различные инструменты, включая собственную разработку — утилиту под названием SSH Brute, предназначенную для подбора паролей к SSH-серверам.
Даже находясь на действительной военной службе, Вагениус продолжал координировать атаки и участвовать в преступной деятельности. Как только удавалось получить доступ к внутренним системам, сообщники выкачивали чувствительные данные, после чего начиналась фаза вымогательства. В переписках с пострадавшими компаниями и на специализированных форумах вроде BreachForums и XSS.is они угрожали обнародовать информацию, если не получат выкуп. Иногда украденные данные просто выставлялись на продажу — суммы доходили до нескольких тысяч долларов за лот.
Некоторые из данных были использованы для дальнейших атак, включая схемы с подменой SIM-карт, что позволяло перехватывать личные аккаунты и банковскую информацию. Общая сумма, которую Вагениус и его сообщники пытались выручить с владельцев данных, превысила 1 миллион долларов.
Вагениус признал вину по обвинениям в сговоре с целью мошенничества, вымогательстве в сфере компьютерных преступлений и краже персональных данных с отягчающими обстоятельствами. Также он ранее уже признал вину в передаче чужих конфиденциальных телефонных записей. Судебное слушание по делу состоится 6 октября. Максимальное наказание по представленным обвинениям может составить до 27 лет лишения свободы: 20 лет за мошенничество, 5 лет за вымогательство и обязательные два года за кражу личных данных, которые присоединяются к основному сроку.
