Compania de securitate cibernetică Cylance a confirmat legitimitatea datelor care sunt vândute pe un forum de hacking, declarând că acestea sunt date vechi furate de pe o ‘platformă de terți’.
Un actor de amenințare cunoscut sub numele de Sp1d3r vinde aceste date furate pentru 750.000 de dolari, așa cum a fost observat pentru prima dată de Dark Web Informer.
Datele presupus includ o cantitate semnificativă de informații, cum ar fi 34.000.000 de adrese de email ale clienților și angajaților și informații de identificare personală aparținând clienților, partenerilor și angajaților Cylance.
Cu toate acestea, cercetătorii au declarat pentru BleepingComputer că mostrele scurse par a fi date vechi de marketing folosite de Cylance.
BlackBerry Cylance a declarat pentru BleepingComputer că sunt conștienți și investighează afirmațiile actorului de amenințare, dar că nu ‘au fost compromise datele și sistemele BlackBerry legate de […] clienți, produse și operațiuni’.
‘Pe baza recenziilor noastre inițiale ale datelor în discuție, nu sunt afectați clienții actuali Cylance și nu sunt implicate informații sensibile,’ a adăugat compania.
‘Datele în discuție au fost accesate de pe o platformă de terți neînrudită cu BlackBerry și par a fi din perioada 2015-2018, anterior achiziției de către BlackBerry a portofoliului de produse Cylance.’
În timp ce compania nu a răspuns încă la o solicitare ulterioară pentru mai multe detalii cu privire la numele platformei de terți care a fost violată pentru a fura ceea ce pretinde a fi date vechi, același actor de amenințare vinde și 3TB de date de la furnizorul de piese auto de după-piață Advance Auto Parts, furate după ce au spart contul companiei Snowflake.
BleepingComputer a confirmat că Cylance este un client Snowflake, cu consola de management web situată la https://cylance.snowflakecomputing.com/.
Violările recente la Santander, Ticketmaster și QuoteWizard/Lendingtree au fost de asemenea legate de atacuri Snowflake. Compania-mamă a Ticketmaster, Live Nation, a confirmat de asemenea că o violare de date a afectat firma de bilete după ce contul său Snowflake a fost compromis la 20 mai.
Într-o avertizare comună cu CrowdStrike și Mandiant, Snowflake a spus că atacatorii au folosit credențialele furate ale clienților pentru a vizat conturile fără protecție de autentificare cu factori multipli.
Astăzi, Mandiant a publicat un raport care leagă atacurile Snowflake de un actor de amenințare cu motivație financiară pe care îl urmărește ca UNC5537. Actorul a obținut acces la conturile clienților Snowflake folosind credențialele furate ale clienților în infecțiile malware de tip infostealer începând cu anul 2020.
Mandiant urmărește UNC5537 începând cu mai 2024. Actorul de amenințare cu motivație financiară a vizat sute de organizații la nivel mondial, șantajând victimele pentru câștig financiar.
Deși Mandiant nu a partajat multe informații despre UNC5537, BleepingComputer a aflat că aceștia fac parte dintr-o comunitate mai mare de actori de amenințare care frecventează aceleași site-uri web, servere Telegram și Discord, unde colaborează frecvent la atacuri.
‘Conturile afectate nu au fost configurate cu autentificare cu factori multipli activată, ceea ce înseamnă că autentificarea reușită a necesitat doar un nume de utilizator și o parolă valabilă,’ a spus Mandiant.
‘Credențialele identificate în datele malware-ului infostealer erau încă valabile, în unele cazuri ani după ce au fost furate, și nu au fost rotite sau actualizate. Instanțele clientului Snowflake afectat nu aveau liste de aprobare a rețelei pentru a permite accesul doar din locații de încredere.’
Mandiant spune că a identificat sute de credențiale de clienți Snowflake expuse în atacuri malware de tip infostealer precum Vidar, RisePro, Redline, Racoon Stealer, Lumm și Metastealer începând cu anul 2020.
Până în prezent, Snowflake și Mandiant au notificat aproximativ 165 de organizații potențial expuse acestor atacuri în desfășurare.
Ticketmaster confirmă o violare masivă după ce datele furate sunt de vânzare online
Violarea datelor 23andMe este investigată în Regatul Unit și Canada
Frontier avertizează 750.000 de persoane despre o violare a datelor după amenințările de șantaj
Criminal IP lansează detectarea fraudei și inteligența amenințărilor pe Snowflake Marketplace
Codul sursă al New York Times a fost furat folosind un token GitHub expus
Leave a Reply