Siber güvenlik şirketi Cylance, bir hack forumunda satılan verilerin meşruiyetini doğruladı ve bunun "üçüncü taraf bir platformdan" çalınan eski veriler olduğunu belirtti.
SP1D3R olarak bilinen bir tehdit aktörü, bu çalınan verileri ilk olarak Dark Web Informer tarafından tespit edildiği gibi 750.000 dolara satıyor.
Veriler, 34.000.000 müşteri ve çalışan e -postaları ve Cylance müşterileri, ortakları ve çalışanlarına ait kişisel olarak tanımlanabilir bilgiler gibi önemli miktarda bilgi içermektedir.
Bununla birlikte, araştırmacılar BleepingComputer'a sızdırılan örneklerin Cylance tarafından kullanılan eski pazarlama verileri gibi göründüğünü söylediler.
BlackBerry Cylance, BleepingComputer'a tehdit oyuncunun iddialarının farkında olduklarını ve araştırdıklarını, ancak "[..] müşterileri, ürünleri ve operasyonlarıyla ilgili BlackBerry verilerinin ve sistemlerin tehlikeye atılmadığını" söyledi.
Şirket, "Söz konusu verilerle ilgili ilk incelemelerimize dayanarak, mevcut Cylance müşterileri etkilenmez ve hassas bir bilgi dahil değildir."
"Söz konusu verilere BlackBerry ile ilgisi olmayan üçüncü taraf bir platformdan erişildi ve 2015-2018 yılları arasında BlackBerry'nin Cylance ürün portföyünü satın almasından önce geliyor."
Şirket, eski veri olduğunu iddia ettiği şeyi çalmak için ihlal edilen üçüncü taraf platformunun adı hakkında daha fazla bilgi için bir takip talebine henüz cevap vermemiş olsa da, aynı tehdit oyuncusu otomotivden 3 TB veri satıyor Satış sonrası parça sağlayıcısı, şirketin kar tanesi hesabını ihlal ettikten sonra çalınan otomobil parçalarını ilerletin.
BleepingComputer, https://cylance.snowflakeComputing.com/ adresinde bulunan bir SnowFlake web yönetim konsoluna bir bağlantı buldu. Bununla birlikte, bir BlackBerry sözcüsü BleepingComputer'a gösterge panelinin "eski ve geçersiz" olduğunu ve "BlackBerry Cylance'ın bir kar tanesi müşterisi olmadığını" söyledi.
Santander, Ticketmaster ve Quotewizard/Lendingtree'deki son ihlaller de kar tanesi saldırılarıyla bağlantılı. Ticketmaster'ın ana şirketi Live Nation, 20 Mayıs'ta kar tanesi hesabından ödün verildikten sonra bir veri ihlalinin bilet firmasını etkilediğini doğruladı.
Crowdstrike ve Mantiant ile ortak bir danışmanlıkta Snowflake, saldırganların çok faktörlü kimlik doğrulama koruması olmadan hesapları hedeflemek için çalıntı müşteri kimlik bilgilerini kullandığını söyledi.
Bugün Maniant, kar tanesi saldırılarını, UNC5537 olarak izlediği finansal olarak motive olmuş bir tehdit aktörüne bağlayan bir rapor yayınladı. Aktör, 2020'ye kadar infostealer kötü amaçlı yazılım enfeksiyonlarında çalınan müşteri kimlik bilgilerini kullanarak Snowflake müşteri hesaplarına erişim elde etti.
Mantiant, Mayıs 2024'ten bu yana UNC5537'yi izliyor. Finansal olarak motive edilen tehdit oyuncusu dünya çapında yüzlerce kuruluşu hedef aldı ve kurbanları finansal kazanç için zorladı.
Mantiant, UNC5537 hakkında çok fazla bilgi paylaşmasa da, BleepingComputer, aynı web sitelerini, telgrafı ve anlaşmazlık sunucularını sık sık saldırılarla işbirliği yapan daha büyük bir tehdit aktör topluluğunun parçası olduklarını öğrendi.
Mantiant, "Etkilenen hesaplar çok faktörlü kimlik doğrulama etkinleştirilmesiyle yapılandırılmadı, yani başarılı kimlik doğrulama sadece geçerli bir kullanıcı adı ve şifre gerektirdi." Dedi.
"Infostealer kötü amaçlı yazılım çıktılarında tanımlanan kimlik bilgileri, bazı durumlarda çalındıktan ve döndürüldükten veya güncellenmedikten sonra hala geçerlidir. Etkilenen Snowflake müşteri örneklerinin, yalnızca güvenilir yerlerden erişime izin vermek için ağlara izin vermemiştir."
Mantiant, Vidar, Risepro, Redline, Racoon Stealer, LUMM ve Metastealer Infostealer Malware saldırılarında en az 2020'den beri maruz kalan yüzlerce müşteri kar tanesi kimlik bilgilerini tespit ettiğini söyledi.
Bugüne kadar, Snowflake ve Mantiant potansiyel olarak bu devam eden saldırılara maruz kalan yaklaşık 165 kuruluşu bilgilendirdi.
GÜNCELLEME 11 Haziran 07:13 EDT: Cylance'ın bir kar tanesi müşterisi olmadığını söyleyerek BlackBerry ifadesi ekledi.
Pure Storage, Snowflake hesabı hackinden sonra veri ihlalini onaylar
Ticketmaster, çevrimiçi satılık çalınan verilerden sonra büyük ihlalleri onayladı
İngiltere ve Kanada'da soruşturma altındaki 23 veper veri ihlali
Frontier, gasp tehditlerinden sonra 750.000 veri ihlalini uyarıyor
Criminal IP, Snowflake Marketplace'de Dolandırıcılık Tespiti ve Tehdit Intel'i başlattı
Kaynak: Bleeping Computer