Новости Взломаны 165 организаций: случай со Snowflake ставит новые цифровые рекорды

NewsMaker

I'm just a script
Премиум
13,852
20
8 Ноя 2022
Снежная лавина компрометаций может превзойти прошлогодний инцидент с MoveIt Transfer.


lioibqogr9a1psbu2fe7ni40ow4jvlp2.jpg


Ситуация, разворачивающаяся вокруг компании Snowflake продолжает стремительно набирать обороты. С каждым днём она всё сильнее напоминает Для просмотра ссылки Войди или Зарегистрируйся организованную вымогательской группой Clop. В тот раз жертвами хакеров стали сотни организаций, однако Snowflake не отстаёт, предлагая интернет-общественности схожий масштаб цифровой катастрофы.

Итак, неизвестная финансово мотивированная преступная группа, которую эксперты компании Mandiant Для просмотра ссылки Войди или Зарегистрируйся под кодовым именем UNC5537, похитила значительный объем данных из баз данных клиентов Snowflake, используя украденные учётные данные.

По данным экспертов, до сих пор уведомлено лишь 165 потенциально пострадавших организаций, когда как по факту их может быть гораздо больше. Преступники UNC5537, как сообщается, могут иметь связи с группой Scattered Spider, известной Для просмотра ссылки Войди или Зарегистрируйся в прошлом году.

В ходе расследования инцидента Mandiant и Snowflake выявили, что утечки данных происходили из-за компрометации учётных данных клиентов. Само корпоративное окружение Snowflake не было взломано.

Первая атака на клиента Snowflake была зафиксирована 14 апреля. В ходе расследования выяснилось, что UNC5537 использовала легитимные учётные данные, украденные ранее с помощью вредоносного ПО, чтобы проникнуть в системы жертвы и похитить данные. У пострадавшего не была включена многофакторная аутентификация.

Примерно через месяц, после обнаружения нескольких компрометаций клиентов, Mandiant и Snowflake начали уведомлять пострадавшие организации. Уже 24 мая преступники стали продавать украденные данные в Интернете, а 30 мая Snowflake выпустила Для просмотра ссылки Войди или Зарегистрируйся

Преступники использовали как .NET-, так и Java-версии утилиты, известной как «FROSTBITE», для проведения разведки в системах клиентов Snowflake, идентифицируя пользователей, их роли и IP-адреса. Также использовалась утилита DBeaver Ultimate для выполнения запросов к базам данных.

Некоторые компрометации произошли на устройствах подрядчиков, использовавшихся как для работы, так и для личных целей. Эти устройства представляли значительный риск, так как одно заражение вредоносным ПО могло предоставить доступ злоумышленникам сразу к нескольким организациям.

Все успешные атаки имели три общих черты: отсутствие настроенной многофакторной аутентификации, использование валидных украденных учётных данных, и отсутствие сетевых белых списков.

Отдельно стоит отметить случаи с компаниями Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся Изначально предполагалось, что их массовые утечки данных связаны со взломом Snowflake, но позже это было опровергнуто. В конечном итоге, Snowflake заявила, что были взломаны учётные записи этих клиентов, также по причине использования однофакторной аутентификации.

Позже американская финансовая компания LendingTree Для просмотра ссылки Войди или Зарегистрируйся что её дочерняя компания QuoteWizard, специализирующаяся на страховании, пострадала в результате взлома. По словам представителя LendingTree, расследование продолжается, и пока не выявлено утечки финансовой информации клиентов или данных самой LendingTree.

Спустя время о взломе заявила и Pure Storage, специализирующаяся на разработке и производстве решений для хранения данных, основанных на флеш-памяти. Компания также Для просмотра ссылки Войди или Зарегистрируйся что пострадала в результате взлома учётных записей Snowflake. В опубликованном сообщении компания заверила, что клиентские данные не были скомпрометированы, и что взлом касался только одного рабочего пространства Snowflake.

По данным Mandiant, киберпреступная группа UNC5537 использовала учётные данные, украденные с помощью вредоносных программ, начиная с 2020 года. Около 80% всех пострадавших организаций использовали ранее скомпрометированные учётные данные.

Hudson Rock первой Для просмотра ссылки Войди или Зарегистрируйся на серию взломов клиентов Snowflake. Однако их отчёт быстро был удалён после вмешательства юристов Snowflake, которые оспорили утверждения о взломе учётной записи сотрудника Snowflake. Тем не менее, возможно, если бы не упорство и принципиальность Snowflake, больше компаний сейчас были бы уведомлены о масштабе проблемы и быстрее бы приняли меры для своей защиты.

В будущем мы ещё не раз услышим о том, как та или иная компания подтверждает компрометацию своих систем, связанную с платформой Snowflake. Та же ситуация с MoveIt Transfer напоминала о себе Для просмотра ссылки Войди или Зарегистрируйся
 
Источник новости
www.securitylab.ru

Похожие темы