Tomcat
Professional
- Messages
- 2,689
- Reaction score
- 911
- Points
- 113
Сообщается, что информация о 165 клиентах Snowflake была потенциально раскрыта в рамках продолжающейся кампании, направленной на содействие краже данных и вымогательству, что указывает на то, что операция имеет более широкие последствия, чем предполагалось ранее.
Компания Mandiant, принадлежащая Google, которая помогает платформе облачного хранилища данных в ее усилиях по реагированию на инциденты, отслеживает пока еще несекретный кластер действий под названием UNC5537, описывая его как финансово мотивированного субъекта угрозы.
"UNC5537 систематически компрометирует экземпляры Snowflake customers, используя украденные учетные данные клиентов, рекламируя данные жертв для продажи на форумах по киберпреступности и пытаясь вымогать деньги у многих жертв", - заявила в понедельник компания по анализу угроз.
"UNC5537 нацелен на сотни организаций по всему миру и часто вымогает у жертв финансовую выгоду. UNC5537 работает под различными псевдонимами на каналах Telegram и форумах по киберпреступности".
Есть основания полагать, что хакерская группа состоит из участников, базирующихся в Северной Америке. Также считается, что она сотрудничает по крайней мере еще с одной стороной, базирующейся в Турции.
Это первый случай, когда количество пострадавших клиентов было официально раскрыто. Ранее Snowflake отмечала, что инцидент затронул "ограниченное число" ее клиентов. У компании более 9 820 клиентов по всему миру.
Кампания, как ранее описывала Snowflake, связана со скомпрометированными учетными данными клиентов, приобретенными на форумах по киберпреступности или полученными с помощью вредоносных программ, похищающих информацию, таких как Lumma, MetaStealer, Raccoon, RedLine, RisePro и Vidar. Считается, что это началось 14 апреля 2024 года.
В нескольких случаях заражение вредоносным ПО stealer было обнаружено в системах подрядчиков, которые также использовались для личной деятельности, такой как игры и загрузка пиратского программного обеспечения, последнее из которых было испытанным каналом распространения воров.
Было обнаружено, что несанкционированный доступ к экземплярам клиентов открывает путь для утилиты-разведчика под названием FROSTBITE (она же "rapeflake"), которая используется для выполнения SQL-запросов и сбора информации о пользователях, текущих ролях, текущих IP-адресах, идентификаторах сеанса и названиях организаций.
Mandiant заявила, что не смогла получить полный образец FROSTBITE, при этом компания также обратила внимание на использование злоумышленником законной утилиты под названием DBeaver Ultimate для подключения и выполнения SQL-запросов через экземпляры Snowflake. На заключительном этапе атаки злоумышленник выполняет команды для сбора и извлечения данных.
Snowflake в обновленном уведомлении заявила, что тесно сотрудничает со своими клиентами, чтобы ужесточить их меры безопасности. Компания также заявила, что разрабатывает план, требующий от них внедрения расширенных средств контроля безопасности, таких как многофакторная аутентификация (MFA) или сетевые политики.
Атаки, по словам Mandiant, стали чрезвычайно успешными по трем основным причинам: отсутствие многофакторной аутентификации (MFA), периодическая смена учетных данных и отсутствие проверок для обеспечения доступа только из надежных мест.
"Самая ранняя наблюдаемая дата заражения infostealer, связанная с учетными данными, используемыми субъектом угрозы, относится к ноябрю 2020 года", - сказал Мандиант, добавив, что "были идентифицированы сотни учетных данных клиентов Snowflake, переданных через infostealers с 2020 года".
"Эта кампания подчеркивает последствия огромного количества учетных данных, циркулирующих на infostealer marketplace, и может отражать особое внимание участников угроз к аналогичным платформам SaaS".
Полученные данные подчеркивают растущий рыночный спрос на похитителей информации и повсеместную угрозу, которую они представляют для организаций, что приводит к регулярному появлению новых вариантов похитителей, таких как AsukaStealer, Cuckoo, Iluria, k1w1, SamsStealer и Seidr, которые предлагаются для продажи другим криминальным структурам.
"В феврале Sultan, имя вредоносного ПО Vidar, опубликовало изображение, на котором Лумма и похитители енотов изображены вместе в борьбе с антивирусными решениями", - сказала Cyfirma в недавнем анализе. "Это предполагает сотрудничество между участниками угрозы, поскольку они объединяют усилия и совместно используют инфраструктуру для достижения своих целей".
Компания Mandiant, принадлежащая Google, которая помогает платформе облачного хранилища данных в ее усилиях по реагированию на инциденты, отслеживает пока еще несекретный кластер действий под названием UNC5537, описывая его как финансово мотивированного субъекта угрозы.
"UNC5537 систематически компрометирует экземпляры Snowflake customers, используя украденные учетные данные клиентов, рекламируя данные жертв для продажи на форумах по киберпреступности и пытаясь вымогать деньги у многих жертв", - заявила в понедельник компания по анализу угроз.
"UNC5537 нацелен на сотни организаций по всему миру и часто вымогает у жертв финансовую выгоду. UNC5537 работает под различными псевдонимами на каналах Telegram и форумах по киберпреступности".
Есть основания полагать, что хакерская группа состоит из участников, базирующихся в Северной Америке. Также считается, что она сотрудничает по крайней мере еще с одной стороной, базирующейся в Турции.
Это первый случай, когда количество пострадавших клиентов было официально раскрыто. Ранее Snowflake отмечала, что инцидент затронул "ограниченное число" ее клиентов. У компании более 9 820 клиентов по всему миру.
Кампания, как ранее описывала Snowflake, связана со скомпрометированными учетными данными клиентов, приобретенными на форумах по киберпреступности или полученными с помощью вредоносных программ, похищающих информацию, таких как Lumma, MetaStealer, Raccoon, RedLine, RisePro и Vidar. Считается, что это началось 14 апреля 2024 года.
В нескольких случаях заражение вредоносным ПО stealer было обнаружено в системах подрядчиков, которые также использовались для личной деятельности, такой как игры и загрузка пиратского программного обеспечения, последнее из которых было испытанным каналом распространения воров.
Было обнаружено, что несанкционированный доступ к экземплярам клиентов открывает путь для утилиты-разведчика под названием FROSTBITE (она же "rapeflake"), которая используется для выполнения SQL-запросов и сбора информации о пользователях, текущих ролях, текущих IP-адресах, идентификаторах сеанса и названиях организаций.
Mandiant заявила, что не смогла получить полный образец FROSTBITE, при этом компания также обратила внимание на использование злоумышленником законной утилиты под названием DBeaver Ultimate для подключения и выполнения SQL-запросов через экземпляры Snowflake. На заключительном этапе атаки злоумышленник выполняет команды для сбора и извлечения данных.
Snowflake в обновленном уведомлении заявила, что тесно сотрудничает со своими клиентами, чтобы ужесточить их меры безопасности. Компания также заявила, что разрабатывает план, требующий от них внедрения расширенных средств контроля безопасности, таких как многофакторная аутентификация (MFA) или сетевые политики.
Атаки, по словам Mandiant, стали чрезвычайно успешными по трем основным причинам: отсутствие многофакторной аутентификации (MFA), периодическая смена учетных данных и отсутствие проверок для обеспечения доступа только из надежных мест.
"Самая ранняя наблюдаемая дата заражения infostealer, связанная с учетными данными, используемыми субъектом угрозы, относится к ноябрю 2020 года", - сказал Мандиант, добавив, что "были идентифицированы сотни учетных данных клиентов Snowflake, переданных через infostealers с 2020 года".
"Эта кампания подчеркивает последствия огромного количества учетных данных, циркулирующих на infostealer marketplace, и может отражать особое внимание участников угроз к аналогичным платформам SaaS".
Полученные данные подчеркивают растущий рыночный спрос на похитителей информации и повсеместную угрозу, которую они представляют для организаций, что приводит к регулярному появлению новых вариантов похитителей, таких как AsukaStealer, Cuckoo, Iluria, k1w1, SamsStealer и Seidr, которые предлагаются для продажи другим криминальным структурам.
"В феврале Sultan, имя вредоносного ПО Vidar, опубликовало изображение, на котором Лумма и похитители енотов изображены вместе в борьбе с антивирусными решениями", - сказала Cyfirma в недавнем анализе. "Это предполагает сотрудничество между участниками угрозы, поскольку они объединяют усилия и совместно используют инфраструктуру для достижения своих целей".
