Взломаны 165 организаций: случай со Snowflake ставит новые цифровые рекорды

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Снежная лавина компрометаций может превзойти прошлогодний инцидент с MOVEit Transfer.

Ситуация, разворачивающаяся вокруг компании Snowflake продолжает стремительно набирать обороты. С каждым днём она всё сильнее напоминает прошлогоднюю компрометацию платформы MOVEit Transfer, организованную вымогательской группой Clop. В тот раз жертвами хакеров стали сотни организаций, однако Snowflake не отстаёт, предлагая интернет-общественности схожий масштаб цифровой катастрофы.

Итак, неизвестная финансово мотивированная преступная группа, которую эксперты компании Mandiant отслеживают под кодовым именем UNC5537, похитила значительный объем данных из баз данных клиентов Snowflake, используя украденные учётные данные.

По данным экспертов, до сих пор уведомлено лишь 165 потенциально пострадавших организаций, когда как по факту их может быть гораздо больше. Преступники UNC5537, как сообщается, могут иметь связи с группой Scattered Spider, известной взломами отелей и казино Лас-Вегаса в прошлом году.

В ходе расследования инцидента Mandiant и Snowflake выявили, что утечки данных происходили из-за компрометации учётных данных клиентов. Само корпоративное окружение Snowflake не было взломано.

Первая атака на клиента Snowflake была зафиксирована 14 апреля. В ходе расследования выяснилось, что UNC5537 использовала легитимные учётные данные, украденные ранее с помощью вредоносного ПО, чтобы проникнуть в системы жертвы и похитить данные. У пострадавшего не была включена многофакторная аутентификация.

Примерно через месяц, после обнаружения нескольких компрометаций клиентов, Mandiant и Snowflake начали уведомлять пострадавшие организации. Уже 24 мая преступники стали продавать украденные данные в Интернете, а 30 мая Snowflake выпустила заявление по этому поводу.

Преступники использовали как .NET-, так и Java-версии утилиты, известной как «FROSTBITE», для проведения разведки в системах клиентов Snowflake, идентифицируя пользователей, их роли и IP-адреса. Также использовалась утилита DBeaver Ultimate для выполнения запросов к базам данных.

  Эмодзи как оружие: даже безобидные смайлики способны похитить ваши данные

В России и ищешь VPN? Покупай через Телеграмм-бот:

Некоторые компрометации произошли на устройствах подрядчиков, использовавшихся как для работы, так и для личных целей. Эти устройства представляли значительный риск, так как одно заражение вредоносным ПО могло предоставить доступ злоумышленникам сразу к нескольким организациям.

Все успешные атаки имели три общих черты: отсутствие настроенной многофакторной аутентификации, использование валидных украденных учётных данных, и отсутствие сетевых белых списков.

Отдельно стоит отметить случаи с компаниями Ticketmaster и Santander Bank. Изначально предполагалось, что их массовые утечки данных связаны со взломом Snowflake, но позже это было опровергнуто. В конечном итоге, Snowflake заявила, что были взломаны учётные записи этих клиентов, также по причине использования однофакторной аутентификации.

Позже американская финансовая компания LendingTree подтвердила, что её дочерняя компания QuoteWizard, специализирующаяся на страховании, пострадала в результате взлома. По словам представителя LendingTree, расследование продолжается, и пока не выявлено утечки финансовой информации клиентов или данных самой LendingTree.

Спустя время о взломе заявила и Pure Storage, специализирующаяся на разработке и производстве решений для хранения данных, основанных на флеш-памяти. Компания также подтвердила, что пострадала в результате взлома учётных записей Snowflake. В опубликованном сообщении компания заверила, что клиентские данные не были скомпрометированы, и что взлом касался только одного рабочего пространства Snowflake.

По данным Mandiant, киберпреступная группа UNC5537 использовала учётные данные, украденные с помощью вредоносных программ, начиная с 2020 года. Около 80% всех пострадавших организаций использовали ранее скомпрометированные учётные данные.

Hudson Rock первой обратила внимание на серию взломов клиентов Snowflake. Однако их отчёт быстро был удалён после вмешательства юристов Snowflake, которые оспорили утверждения о взломе учётной записи сотрудника Snowflake. Тем не менее, возможно, если бы не упорство и принципиальность Snowflake, больше компаний сейчас были бы уведомлены о масштабе проблемы и быстрее бы приняли меры для своей защиты.

  Атака длиной в декаду: UTG-Q-008 крепко вцепилась в образование и науку

В будущем мы ещё не раз услышим о том, как та или иная компания подтверждает компрометацию своих систем, связанную с платформой Snowflake. Та же ситуация с MOVEit Transfer напоминала о себе даже спустя год после атаки.

Невидимка в сети: научим вас исчезать из поля зрения хакеров.

Подпишитесь!

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий