Tomcat
Professional
- Messages
- 2,689
- Reaction score
- 911
- Points
- 113
Компания по облачным вычислениям и аналитике Snowflake заявила, что "ограниченное число" ее клиентов было выделено в рамках целевой кампании.
"Мы не выявили доказательств того, что эта активность была вызвана уязвимостью, неправильной настройкой или взломом платформы Snowflake", - говорится в совместном заявлении компании с CrowdStrike и Mandiant, принадлежащей Google.
"Мы не выявили доказательств, указывающих на то, что эта активность была вызвана скомпрометированными учетными данными нынешних или бывших сотрудников Snowflake".
Далее говорится, что активность направлена против пользователей с однофакторной аутентификацией, при этом неизвестные субъекты угрозы используют учетные данные, ранее приобретенные или полученные с помощью вредоносного ПО, похищающего информацию.
"Субъекты угроз активно компрометируют клиентов Snowflake организаций, используя украденные учетные данные, полученные путем сокрытия вредоносного ПО, и входя в базы данных, настроенные с использованием однофакторной аутентификации", - сказал технический директор Mandiant Чарльз Кармакал в посте на LinkedIn.
Snowflake также призывает организации включить многофакторную аутентификацию (MFA) и ограничить сетевой трафик только из надежных мест.
Агентство кибербезопасности и инфраструктуры США (CISA) в предупреждении, опубликованном в понедельник, рекомендовало организациям следовать рекомендациям Snowflake по поиску признаков необычной активности и принятию мер по предотвращению несанкционированного доступа пользователей.
В аналогичной рекомендации Австралийского центра кибербезопасности (ACSC) Австралийского управления связи предупреждается об "успешных компрометациях нескольких компаний, использующих среды Snowflake".
Некоторые индикаторы включают вредоносные подключения, исходящие от клиентов, идентифицирующих себя как "rapeflake" и "DBeaver_DBeaverUltimate".
Разработка началась через несколько дней после того, как компания признала, что наблюдала всплеск вредоносной активности, нацеленной на учетные записи клиентов на ее платформе облачных данных.
Хотя в отчете фирмы по кибербезопасности Hudson Rock ранее подразумевалось, что взлом Ticketmaster и Santander Bank мог быть вызван использованием злоумышленниками украденных учетных данных сотрудника Snowflake, с тех пор он был удален со ссылкой на письмо, полученное от юрисконсульта Snowflake.
В настоящее время неизвестно, каким образом у двух компаний, которые обе являются клиентами Snowflake, была украдена их информация. ShinyHunters, личность, взявшая на себя ответственность за двойные взломы на ныне возрожденных BreachForums, рассказала о взломах баз данных.net заявляет, что объяснение Hudson Rock было неверным и что это "дезинформация".
"Инфостилеры представляют собой серьезную проблему — в реальном мире они уже давно превзошли ботнеты и т.д., И единственное реальное решение — надежная многофакторная аутентификация", - сказал независимый исследователь безопасности Кевин Бомонт. Считается, что за инцидентом стоит подростковая преступная группировка.
"Мы не выявили доказательств того, что эта активность была вызвана уязвимостью, неправильной настройкой или взломом платформы Snowflake", - говорится в совместном заявлении компании с CrowdStrike и Mandiant, принадлежащей Google.
"Мы не выявили доказательств, указывающих на то, что эта активность была вызвана скомпрометированными учетными данными нынешних или бывших сотрудников Snowflake".
Далее говорится, что активность направлена против пользователей с однофакторной аутентификацией, при этом неизвестные субъекты угрозы используют учетные данные, ранее приобретенные или полученные с помощью вредоносного ПО, похищающего информацию.
"Субъекты угроз активно компрометируют клиентов Snowflake организаций, используя украденные учетные данные, полученные путем сокрытия вредоносного ПО, и входя в базы данных, настроенные с использованием однофакторной аутентификации", - сказал технический директор Mandiant Чарльз Кармакал в посте на LinkedIn.
Snowflake также призывает организации включить многофакторную аутентификацию (MFA) и ограничить сетевой трафик только из надежных мест.
Агентство кибербезопасности и инфраструктуры США (CISA) в предупреждении, опубликованном в понедельник, рекомендовало организациям следовать рекомендациям Snowflake по поиску признаков необычной активности и принятию мер по предотвращению несанкционированного доступа пользователей.
В аналогичной рекомендации Австралийского центра кибербезопасности (ACSC) Австралийского управления связи предупреждается об "успешных компрометациях нескольких компаний, использующих среды Snowflake".
Некоторые индикаторы включают вредоносные подключения, исходящие от клиентов, идентифицирующих себя как "rapeflake" и "DBeaver_DBeaverUltimate".
Разработка началась через несколько дней после того, как компания признала, что наблюдала всплеск вредоносной активности, нацеленной на учетные записи клиентов на ее платформе облачных данных.
Хотя в отчете фирмы по кибербезопасности Hudson Rock ранее подразумевалось, что взлом Ticketmaster и Santander Bank мог быть вызван использованием злоумышленниками украденных учетных данных сотрудника Snowflake, с тех пор он был удален со ссылкой на письмо, полученное от юрисконсульта Snowflake.
В настоящее время неизвестно, каким образом у двух компаний, которые обе являются клиентами Snowflake, была украдена их информация. ShinyHunters, личность, взявшая на себя ответственность за двойные взломы на ныне возрожденных BreachForums, рассказала о взломах баз данных.net заявляет, что объяснение Hudson Rock было неверным и что это "дезинформация".
"Инфостилеры представляют собой серьезную проблему — в реальном мире они уже давно превзошли ботнеты и т.д., И единственное реальное решение — надежная многофакторная аутентификация", - сказал независимый исследователь безопасности Кевин Бомонт. Считается, что за инцидентом стоит подростковая преступная группировка.