По данным Mandiant из Google, полученным в понедельник, от атак по краже данных, направленных на клиентов компании Snowflake, могут пострадать до 165 организаций .
По мере того, как продолжают появляться подробности операции против Snowflake, инцидент уже затронул ряд крупных компаний, включая Ticketmaster, Santander Group, Advance Auto Parts и другие , а также затронул огромное количество людей, потенциально исчисляемое сотнями миллионов.
Результаты, опубликованные Mandiant в понедельник, указывают на растущее влияние операции против Snowflake и появились на фоне сотрудничества компании с этой компанией в расследовании серии утечек, затронувших её клиентов. Хотя сама Snowflake не была взломана, группа хакеров, используя учётные данные, полученные с помощью вредоносного ПО для кражи информации, систематически атаковала учётные записи Snowflake, на которых не была включена многофакторная аутентификация, а также экземпляры пользователей Snowflake, на которых не были установлены ограничения на доступ к ненадёжным местоположениям, сообщает Mandiant. Некоторые учётные данные, использованные в атаках, были выпущены несколько лет назад.
В понедельник компания Snowflake заявила , что «разрабатывает план, который потребует от клиентов внедрения многофакторной аутентификации».
Атаки, связанные со Snowflake, осуществляются небольшой группой лиц, отслеживаемой Mandiant как UNC5537, — группой финансово мотивированных злоумышленников, специализирующихся на вымогательстве. По данным Mandiant, эта деятельность направлена против сотен организаций по всему миру. По данным Mandiant, группа, вероятно, состоит из жителей Северной Америки и как минимум одного сообщника из Турции.
Первые свидетельства атак группы на экземпляры Snowflake датируются 14 апреля, и Mandiant начала расследование кражи данных из неизвестной базы данных пять дней спустя, сообщила компания. К 14 мая Mandiant выявила несколько пострадавших экземпляров Snowflake, а 22 мая компания и Snowflake уведомили правоохранительные органы.
По данным Mandiant, первые данные клиентов Snowflake были выставлены на онлайн-продажу 24 мая, когда пользователь под ником whitewarlock опубликовал на русскоязычном форуме, посвящённом киберпреступности, то, что он назвал данными Santander Group о 30 миллионах клиентов. 14 мая компания сообщила , что «был получен доступ к определённой информации, касающейся клиентов Santander Chile, Spain и Urugua, а также всех нынешних и некоторых бывших сотрудников Santander Group».
Материнская компания Ticketmaster, Live Nation Entertainment, заявила в документе, поданном в Комиссию по ценным бумагам и биржам США (SEC) , что 20 мая она заметила «несанкционированную активность» в среде сторонней облачной базы данных.
Тем временем BreachForums, ключевой англоязычный форум по киберпреступности, где рекламируются и продаются украденные данные (включая данные Ticketmaster, касающиеся, предположительно, 560 миллионов человек), 9 июня по пока неясным причинам отключился.
За последние два года работу сайта дважды нарушали ФБР и коалиция других международных правоохранительных органов ( последний раз — 15 мая ), однако спустя несколько дней он был восстановлен старшими сотрудниками или другими известными пользователями.
Аккаунты Telegram, связанные с BreachForums и ShinyHunters (персона, которая в последнее время отвечала за BreachForums), также были отключены или удалены.
ФБР отказалось от комментариев. Telegram не ответил на запрос о комментарии.
В отчёте Mandiant, опубликованном в понедельник, подчеркивается распространённая угроза вредоносного ПО для кражи информации, предназначенного для сбора учётных данных и других данных из браузеров или заражённых веб-сайтов. Различные варианты этого ПО, включая VIDAR, RISEPRO, REDLINE, RACOON STEALER, LUMMA и METASTEALER, широко распространены, и в продаже доступны десятки миллионов комбинаций имени пользователя и пароля.
(Мандиант)
Инфокрады собирают учетные данные, которые затем упаковываются и продаются как «логи» и используются для совершения всевозможных киберпреступлений и других видов кибердеятельности.
Вредоносное ПО иногда входит в состав троянизированного ПО на корпоративных или персональных устройствах, отметила компания Mandiant. «В ходе нескольких расследований, связанных со Snowflake, Mandiant обнаружила, что первоначальная атака вредоносного ПО для кражи информации произошла на системах подрядчиков, которые также использовались для личных целей, включая игры и загрузку пиратского ПО», — отметила компания.
По мере того, как продолжают появляться подробности операции против Snowflake, инцидент уже затронул ряд крупных компаний, включая Ticketmaster, Santander Group, Advance Auto Parts и другие , а также затронул огромное количество людей, потенциально исчисляемое сотнями миллионов.
Результаты, опубликованные Mandiant в понедельник, указывают на растущее влияние операции против Snowflake и появились на фоне сотрудничества компании с этой компанией в расследовании серии утечек, затронувших её клиентов. Хотя сама Snowflake не была взломана, группа хакеров, используя учётные данные, полученные с помощью вредоносного ПО для кражи информации, систематически атаковала учётные записи Snowflake, на которых не была включена многофакторная аутентификация, а также экземпляры пользователей Snowflake, на которых не были установлены ограничения на доступ к ненадёжным местоположениям, сообщает Mandiant. Некоторые учётные данные, использованные в атаках, были выпущены несколько лет назад.
В понедельник компания Snowflake заявила , что «разрабатывает план, который потребует от клиентов внедрения многофакторной аутентификации».
Атаки, связанные со Snowflake, осуществляются небольшой группой лиц, отслеживаемой Mandiant как UNC5537, — группой финансово мотивированных злоумышленников, специализирующихся на вымогательстве. По данным Mandiant, эта деятельность направлена против сотен организаций по всему миру. По данным Mandiant, группа, вероятно, состоит из жителей Северной Америки и как минимум одного сообщника из Турции.
Первые свидетельства атак группы на экземпляры Snowflake датируются 14 апреля, и Mandiant начала расследование кражи данных из неизвестной базы данных пять дней спустя, сообщила компания. К 14 мая Mandiant выявила несколько пострадавших экземпляров Snowflake, а 22 мая компания и Snowflake уведомили правоохранительные органы.
По данным Mandiant, первые данные клиентов Snowflake были выставлены на онлайн-продажу 24 мая, когда пользователь под ником whitewarlock опубликовал на русскоязычном форуме, посвящённом киберпреступности, то, что он назвал данными Santander Group о 30 миллионах клиентов. 14 мая компания сообщила , что «был получен доступ к определённой информации, касающейся клиентов Santander Chile, Spain и Urugua, а также всех нынешних и некоторых бывших сотрудников Santander Group».
Материнская компания Ticketmaster, Live Nation Entertainment, заявила в документе, поданном в Комиссию по ценным бумагам и биржам США (SEC) , что 20 мая она заметила «несанкционированную активность» в среде сторонней облачной базы данных.
Тем временем BreachForums, ключевой англоязычный форум по киберпреступности, где рекламируются и продаются украденные данные (включая данные Ticketmaster, касающиеся, предположительно, 560 миллионов человек), 9 июня по пока неясным причинам отключился.
За последние два года работу сайта дважды нарушали ФБР и коалиция других международных правоохранительных органов ( последний раз — 15 мая ), однако спустя несколько дней он был восстановлен старшими сотрудниками или другими известными пользователями.
Аккаунты Telegram, связанные с BreachForums и ShinyHunters (персона, которая в последнее время отвечала за BreachForums), также были отключены или удалены.
ФБР отказалось от комментариев. Telegram не ответил на запрос о комментарии.
В отчёте Mandiant, опубликованном в понедельник, подчеркивается распространённая угроза вредоносного ПО для кражи информации, предназначенного для сбора учётных данных и других данных из браузеров или заражённых веб-сайтов. Различные варианты этого ПО, включая VIDAR, RISEPRO, REDLINE, RACOON STEALER, LUMMA и METASTEALER, широко распространены, и в продаже доступны десятки миллионов комбинаций имени пользователя и пароля.
Инфокрады собирают учетные данные, которые затем упаковываются и продаются как «логи» и используются для совершения всевозможных киберпреступлений и других видов кибердеятельности.
Вредоносное ПО иногда входит в состав троянизированного ПО на корпоративных или персональных устройствах, отметила компания Mandiant. «В ходе нескольких расследований, связанных со Snowflake, Mandiant обнаружила, что первоначальная атака вредоносного ПО для кражи информации произошла на системах подрядчиков, которые также использовались для личных целей, включая игры и загрузку пиратского ПО», — отметила компания.
