HACKING

Παραβίαση της Snowflake εκθέτει δεδομένα πελατών

This post was originally published on this site

Έως και 165 πελάτες της Snowflake φαίνεται να έχουν εκτεθεί τα δεδομένα τους ως μέρος μιας συνεχιζόμενης εκστρατείας που στοχεύει στην κλοπή και τον εκβιασμό πληροφοριών, επιβεβαιώνοντας ότι το πρόβλημα είναι μεγαλύτερο από ό,τι υπολογιζόταν αρχικά.

Η Mandiant, θυγατρική της Google που βοηθά την πλατφόρμα αποθήκευσης δεδομένων cloud στις προσπάθειές της για διαχείριση περιστατικών, παρακολουθεί ένα σύμπλεγμα δραστηριοτήτων που δεν έχει ακόμα ταξινομηθεί, ονομαζόμενο UNC5537. Το UNC5537 περιγράφεται ως απειλή με οικονομικά κίνητρα.

Δείτε περισσότερα: Cylance: Παραβίαση δεδομένων μέσω hacking τρίτου παρόχου

«Το UNC5537 συστηματικά διακυβεύει λογαριασμούς πελατών του Snowflake χρησιμοποιώντας κλεμμένα διαπιστευτήρια, διαφημίζοντας τα δεδομένα τους προς πώληση σε φόρουμ εγκλημάτων στον κυβερνοχώρο και προσπαθώντας να εκβιάσει πολλά από τα θύματα», δήλωσε η εταιρεία πληροφοριών απειλών τη Δευτέρα.

«Το UNC5537 έχει στοχεύσει εκατοντάδες οργανισμούς παγκοσμίως και συχνά εκβιάζει τα θύματα για οικονομικό όφελος. Λειτουργεί με διάφορα ψευδώνυμα σε κανάλια Telegram και φόρουμ εγκλημάτων».

Υπάρχουν ενδείξεις ότι η ομάδα hacking περιλαμβάνει μέλη που εδρεύουν στη Βόρεια Αμερική και συνεργάζεται με τουλάχιστον ένα επιπλέον μέλος στην Τουρκία.

Αυτή είναι η πρώτη φορά που ο αριθμός των επηρεαζόμενων πελατών αποκαλύπτεται επίσημα. Πριν από αυτό, η Snowflake είχε αναφέρει ότι ένας «περιορισμένος αριθμός» πελατών της είχε επηρεαστεί. Η εταιρεία έχει πάνω από 9.820 πελάτες παγκοσμίως.

Η εκστρατεία, όπως περιγράφηκε προηγουμένως από τη Snowflake, ξεκίνησε από παραβιασμένα διαπιστευτήρια πελατών που αγοράστηκαν από φόρουμ εγκλημάτων στον κυβερνοχώρο ή αποκτήθηκαν μέσω κακόβουλου λογισμικού κλοπής πληροφοριών όπως τα Lumma, MetaStealer, Raccoon, RedLine, RisePro και Vidar.

Δείτε ακόμη: 23andMe: Αρχές του Καναδά και του Ηνωμένου Βασιλείου εξετάζουν την παραβίαση δεδομένων 

Σε αρκετές περιπτώσεις, έχουν εντοπιστεί μολύνσεις από κακόβουλο λογισμικό σε συστήματα εργολάβων που χρησιμοποιούνταν για προσωπικές δραστηριότητες, όπως παιχνίδια και λήψη πειρατικού λογισμικού, το οποίο αποτελεί γνωστό μέσο διανομής κακόβουλου λογισμικού.

Η μη εξουσιοδοτημένη πρόσβαση σε πελατειακές παρουσίες έχει ανοίξει το δρόμο για ένα εργαλείο αναγνώρισης που ονομάζεται FROSTBITE (γνωστό και ως “rapeflake”), το οποίο χρησιμοποιείται για την εκτέλεση ερωτημάτων SQL και τη συλλογή πληροφοριών σχετικά με τους χρήστες, τους τρέχοντες ρόλους, τις τρέχουσες IP, τα αναγνωριστικά συνεδριών και τα ονόματα οργανισμών.

Η Mandiant ανέφερε ότι δεν μπόρεσε να αποκτήσει ένα πλήρες δείγμα του FROSTBITE. Η εταιρεία επισήμανε επίσης τη χρήση του νόμιμου βοηθητικού προγράμματος DBeaver Ultimate για τη σύνδεση και εκτέλεση ερωτημάτων SQL σε περιπτώσεις Snowflake. Το τελικό στάδιο της επίθεσης περιλαμβάνει την εκτέλεση εντολών από τον αντίπαλο για την εξαγωγή δεδομένων.

Διαβάστε περισσότερα: Οι παραβιάσεις λογαριασμών ξεπερνούν το Ransomware ως κορυφαία κυβερνοαπειλή

Η Snowflake, σε μια ανανεωμένη συμβουλευτική ανακοίνωση, δήλωσε ότι συνεργάζεται στενά με τους πελάτες της για την ενίσχυση των μέτρων ασφαλείας τους. Επιπλέον, ανέφερε ότι αναπτύσσει ένα σχέδιο που θα απαιτεί την εφαρμογή προηγμένων ελέγχων ασφαλείας, όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) και οι πολιτικές δικτύου.

Οι επιθέσεις, σύμφωνα με τη Mandiant, έχουν γίνει εξαιρετικά επιτυχημένες λόγω τριών βασικών παραγόντων: έλλειψη ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), μη περιοδική εναλλαγή των διαπιστευτηρίων και έλλειψη ελέγχων για την εξασφάλιση πρόσβασης μόνο από αξιόπιστες τοποθεσίες.

«Η παλαιότερη ημερομηνία μόλυνσης από κλέφτη πληροφοριών που παρατηρήθηκε και σχετίζεται με ένα διαπιστευτήριο που αξιοποιήθηκε από τον παράγοντα απειλών χρονολογείται από τον Νοέμβριο του 2020», ανέφερε η Mandiant. Πρόσθεσε ότι «έχει εντοπίσει εκατοντάδες διαπιστευτήρια πελατών Snowflake που εκτέθηκαν μέσω infostealers από το 2020».

«Αυτή η καμπάνια υπογραμμίζει τις συνέπειες των μεγάλων ποσοτήτων διαπιστευτηρίων που κυκλοφορούν στην αγορά πληροφορικής κλοπής και μπορεί να αντανακλά μια συγκεκριμένη εστίαση από φορείς απειλών σε παρόμοιες πλατφόρμες SaaS».

Τα ευρήματα αναδεικνύουν την αυξανόμενη ζήτηση για κλέφτες πληροφοριών και την διάχυτη απειλή που συνιστούν για τους οργανισμούς, οδηγώντας στην τακτική εμφάνιση νέων παραλλαγών κλέφτη, όπως AsukaStealer, Cuckoo, Iluria, k1w1, SamsStealer και Seidr, που πωλούνται σε άλλους εγκληματίες.

Snowflake

Διαβάστε επίσης: Η Northern Minerals αποκαλύπτει παραβίαση δεδομένων

«Τον Φεβρουάριο, ο Sultan, το όνομα πίσω από το κακόβουλο λογισμικό Vidar, μοιράστηκε μια εικόνα με τους κλέφτες Lumma και Raccoon, που απεικονίζονται μαζί σε μάχη κατά των λύσεων προστασίας από ιούς», ανέφερε η Cyfirma σε πρόσφατη ανάλυση. «Αυτό υποδηλώνει συνεργασία μεταξύ των παραγόντων απειλών, καθώς ενώνουν τις δυνάμεις τους και μοιράζονται υποδομές για να επιτύχουν τους στόχους τους».

Πηγή: thehackernews

https://www.secnews.gr/security/

%d bloggers like this: