Ponad 160 klientów Snowflake padło ofiarą ukierunkowanej kradzieży danych


Mandant Ostrzegł Klienci płatków śniegu zintensyfikować swoje działania, jeśli chodzi o podstawową higienę danych uwierzytelniających, po ujawnieniu dowodów na to, że ponad 160 klientów – w tym Santander i Ticketmaster – zostało narażonych na szwank w ramach ukierunkowanej kampanii przez ugrupowanie cyberprzestępcze o motywach finansowych, które śledzi jako UNC5537.

Mandiant powiedział, że UNC5537 systematycznie narusza bezpieczeństwo Płatek śniegu przypadki klientów wykorzystujących skradzione dane uwierzytelniające, oferujących skradzione dane na sprzedaż na forach w ciemnej sieci i próbujących wyłudzić wiele ofiar.

Windykacyjny płatek śniegu – która wcześniej stwierdziła, że ​​nie jest w stanie zidentyfikować żadnego naruszenia bezpieczeństwa we własnym środowisku korporacyjnym – Mandiant stwierdziła, że ​​w każdym wykrytym przez siebie przypadku kompromis był wynikiem braku higieny cyberbezpieczeństwa u klienta będącego ofiarą.

„Co najmniej od kwietnia 2024 r. UNC5537 wykorzystuje skradzione dane uwierzytelniające, aby uzyskać dostęp do ponad 100 dzierżawców klientów Snowflake. Osoba zagrażająca systematycznie narażała na szwank dzierżawców klientów, pobierała dane, wyłudzała ofiary i reklamowała dane ofiar w celu sprzedaży na forach cyberprzestępczych” – powiedział Charles Carmakal, dyrektor ds. technicznych Mandiant Consulting.

„Kombinacja wielu czynników przyczyniła się do ukierunkowanej kampanii zagrożeń, w tym kont klientów Snowflake skonfigurowanych bez usługi MFA i skradzionych danych uwierzytelniających złośliwe oprogramowanie kradnące informacje – często z komputerów osobistych – i najemców skonfigurowanych bez list dozwolonych sieci. Bardzo ważne jest, aby organizacje oceniły swoje narażenie na kradzież danych uwierzytelniających przez osoby kradnące informacje, ponieważ przewidujemy, że ten ugrupowanie zagrażające i inne podmioty będą replikować tę kampanię w innych rozwiązaniach SaaS”.

Mandiant powiedział, że osoby kradnące informacje wykorzystywane do wykradania danych uwierzytelniających ofiar były rozpowszechniane w ramach różnych kampanii szkodliwego oprogramowania, a niektóre z nich sięgały już 2020 roku. Niektóre z wykorzystywanych szkodliwych programów obejmowały Vidar, Risepro, Redline, Racoon Stealer, Lumma i Metast.

Reklama

Zauważył również, że wpływ na konta nie włączono uwierzytelniania wielopoziomowego – sprawiło, że logowanie się dla cyberprzestępców stało się proste, a w wielu przypadkach zidentyfikowane dane uwierzytelniające pochodziły sprzed wielu lat i nie były zmieniane ani aktualizowane od czasu naruszenia bezpieczeństwa. Klienci, których to dotyczyło, nie utworzyli także list zezwoleń sieciowych umożliwiających dostęp wyłącznie z zaufanych lokalizacji.

Co ciekawe, w wielu przypadkach ustalono, że złodzieje informacji dotarli do systemów komputerowych wykonawców zewnętrznych, którzy byli również wykorzystywani w celach osobistych, w tym do grania i pobierania pirackiego oprogramowania lub treści.

Mandiant ostrzegł organizacje, aby bardziej rygorystycznie przestrzegały zasad higieny wykonawców, ponieważ wiele z nich korzysta z osobistych lub niemonitorowanych komputerów w celu uzyskania dostępu do systemów wielu klientów, często z podwyższonymi uprawnieniami administratora, co dodatkowo ułatwia kampanię UNC5537.

Kim są UNC5537?

UNC5537 został formalnie zidentyfikowany i śledzony przez firmę Mandiant dopiero w ciągu ostatnich kilku tygodni, dlatego na razie pojawia się w taksonomii Mandiant.

UNC5537, ugrupowanie grożące motywowane finansowo, niepowiązane z żadnym państwem narodowym, obrał za cel setki organizacji na całym świecie. Prawie wszyscy jej członkowie mieszkają w Ameryce Północnej, z jednym znanym współpracownikiem wyśledzonym w Turcji, i mogą mieć powiązania z innymi grupami.

Działają pod wieloma pseudonimami, koordynując działania za pośrednictwem kanałów Telegramu i forów cyberprzestępczych, a dostęp do instancji swoich ofiar uzyskują przede wszystkim za pomocą Mullvad lub prywatnego dostępu do Internetu (PIA). wirtualnej sieci prywatnej (VPN) Adresy IP. Skradzione dane rozeszły się dalej wirtualne serwery prywatne (VPS) firmy Alexhost z siedzibą w Mołdawii i był przechowywany w systemach kilku innych dostawców VPS oraz dostawcy usług przechowywania w chmurze Mega.

Mandiant stwierdził, że kampania UNC5537 nie była szczególnie nowatorska ani wyrafinowana, a fakt, że wywarła tak szeroki wpływ, jest raczej konsekwencją rosnącego wykorzystania osób kradnących informacje w połączeniu z straconymi przez ofiary możliwościami zabezpieczenia się.



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Dom Smoka, sezon 2, poprawia makabryczne zabójstwa opisane w książce

Dom Smoka zawsze mówił o tym, jak najmniejsze decyzje mogą mieć nieprzewidziane konsekwencje, ale rzadko ten temat był tak jasny, jak...

iOS 18: 18 najważniejszych funkcji i zmian dla iPhone’a [Video]

W tym wstępnym, praktycznym przewodniku omawiam 18 moich ulubionych nowych zmian i funkcji z pierwszej wersji beta systemu iOS 18 dla iPhone'a. ...

Przeglądarka Chrome na Androidzie może czytać strony internetowe na głos z poziomu aplikacji

Google wprowadza nową opcję o nazwie „Posłuchaj tej strony”, która umożliwia odczytanie strony internetowej na głos w przeglądarce Chrome na Androidzie. Ta...
Advertisment