GÜNCELLEME 6/1/24: Hudson Rock, bir bilgisayar korsanının verileri çalmak için kar tanesi ihlal ettiği ve bilgisayar korsanının iddialarından şüphe duyduğuna dair raporlarını indirdi. BleepingComputer nedenini bulmak için uzandı, ancak siber güvenlik şirketi henüz cevap vermedi. Orijinal raporumuz aşağıda.
Son Santander ve Ticketmaster Breaches'i iddia eden bir tehdit oyuncusu, bir çalışanın bulut depolama şirketi Snowflake'teki hesabına girdikten sonra veri çaldıklarını söyledi. Ancak, kar tanesi bu iddialara itiraz ederek, son ihlallerin kötü güvenli müşteri hesaplarından kaynaklandığını söyleyerek.
Snowflake'in bulut veri platformu, Adobe, AT&T, Capital One, Doordash, HP, Instacart, JetBlue, Kraft Heinz, Mastercard, Micron, NBC Universal, Nielsen, Novartis, OKTA gibi dünyadaki en büyük şirketlerden bazıları dahil 9.437 müşteri tarafından kullanılmaktadır. PepsiCo, Siemens, ABD Foods, Western Union, Yamaha ve diğerleri.
Siber güvenlik firması Hudson Rock'a göre, tehdit oyuncusu, Anheuser-Busch, State Farm, Mitsubishi, Progressive, Neiman Marcus, Allstate dahil olmak üzere Snowflake'in bulut depolama hizmetlerini kullanan diğer yüksek profilli şirketlerden gelen verilere de eriştiklerini iddia etti. .
Bunu yapmak için, çalıntı kimlik bilgilerini kullanarak bir Snowflake çalışanının ServiceNow hesabına imzalayarak OKTA'nın güvenli kimlik doğrulama sürecini atladıklarını söylüyorlar. Daha sonra, Snowflake müşterilerine ait verileri yaymak için oturum jetonları üretebileceklerini iddia ediyorlar.
Hudson Rock, "Açıkça söylemek gerekirse, tek bir kimlik bilgisi, verilerini kar tanesi kullanarak saklayan potansiyel olarak yüzlerce şirketin pessasyonuyla sonuçlandı ve tehdit aktörünün kendisi 400 şirketin etkilendiğini gösteriyor." Dedi.
"Tehdit oyuncusu, Snowflake sunucularına erişimlerinin derinliğini gösteren Hudson Rock'ın araştırmacılarıyla paylaştı. Bu dosya, Snowflake'in Avrupa sunucularıyla ilgili 2.000'den fazla müşteri örneğini belgeliyor."
Tehdit oyuncusu, Snowflake'i çalınan verileri 20 milyon dolara geri almak için şantaj yapmak istediğini iddia ediyor, ancak şirket gasp girişimlerine cevap vermedi.
Hudson Rock, bir kar tanesi çalışanının Ekim ayında Lumma tipi bir Infostealer tarafından enfekte olduğunu da sözlerine ekledi. Kötü amaçlı yazılım, kurumsal kimlik bilgilerini, tehdit oyuncusu tarafından paylaşılan ve aşağıda gömülü bir ekran görüntüsünde görüldüğü gibi kar tanesi altyapısına çaldı.
Mantiant Consulting CTO Charles Carmakal, BleepingComputer'a Mantiant'ın son birkaç hafta boyunca tehlikeye atılan kar tanesi müşterilerine yardım ettiğini söyledi.
Şirketin soruşturmaları, tehdit aktörlerinin, mağdurun kar tanesi kiracılarına erişmek için bilgi çalma kötü amaçlı yazılımlar tarafından çalınan kimlik bilgilerini kullandığını gösteriyor.
Carmakal, "Çok faktörlü kimlik doğrulaması olmadan yapılandırılan herhangi bir SaaS çözümü, tehdit aktörleri tarafından kütle sömürülmeye yatkındır. Tüm bulut kullanıcılarını 2Factor veya daha iyi ve IP tabanlı kısıtlamalar uygulamaya teşvik ediyoruz."
"Tehdit aktörlerinin bu kampanyayı hassas işletme verileri içeren diğer SaaS çözümlerinde çoğaltacağını tahmin ediyoruz"
BleepingComputer, tehdit oyuncunun bir çalışanın ihlal edildiği iddiaları hakkında Snowflake ile temasa geçti, ancak bir sözcü şirketin "ekleyecek başka bir şeyi" olmadığını söyledi.
Santander ve Ticketmaster sözcüsü, bugün daha önce BleepingComputer tarafından iletişime geçildiğinde hemen yorum yapmak için müsait değildi.
BleepingComputer, hem Santander hem de Ticketmaster'ın Snowflake'in bulut depolama hizmetlerini kullandığını doğruladı.
Bu olay veya diğer kar tanesi verileri hırsızlığı ihlalleri hakkında herhangi bir bilginiz varsa, 646-961-3731 numaralı telefondan veya tips@bleepingcomputer.com adresinden sinyal yoluyla bize gizlice iletişime geçebilirsiniz.
Snowflake, Hudson Rock'ın raporunu doğrulamadı, bunun yerine saldırganın bu ihlallerde müşteri hesaplarından ödün verdiğini ve şirketin ürünlerinde herhangi bir güvenlik açığı veya yanlış yapılandırmadan yararlanmadığını belirtti.
Bulut depolama sağlayıcısı ayrıca Cuma günü müşterileri, bazı hesaplarını hedefleyen saldırılarda "bir artış" araştırdığı konusunda uyardı ve Snowflake Ciso Brad Jones, 23 Mayıs'ta bazı müşteri hesaplarının tehlikeye atıldığını da sözlerine ekledi.
Diyerek şöyle devam etti: "23 Mayıs 2024'te belirli müşteri hesaplarına potansiyel olarak yetkisiz erişimin farkına vardık. Soruşturmamız sırasında, Nisan ortası 2024'ten başlayarak, yetkisiz erişimle ilgili olduğuna inandığımız bir IP adres ve şüpheli müşterilerin bir alt kümesinden artan tehdit faaliyeti gözlemledik." Dedi Jones.
"Bugüne kadar, bu etkinliğin kar tanesi ürünündeki herhangi bir güvenlik açığı, yanlış yapılandırma veya kötü niyetli faaliyetten kaynaklandığına inanmıyoruz. Devam eden soruşturmamız boyunca, etkilenmiş olabileceğine inandığımız sınırlı sayıda müşteriyi hemen bilgilendirdik. . "
Jones, Snowflake'in tüm müşterilere saldırılara bildirildiğini ve çok faktörlü kimlik doğrulamayı (MFA) etkinleştirerek hesaplarını ve verilerini güvence altına almaya çağırdığını söyledi.
Veri bulut şirketi ayrıca uzlaşma göstergeleri (IOCS), araştırma sorguları ve potansiyel olarak etkilenen müşterilerin hesaplarını nasıl güvence altına alabileceği konusunda tavsiyeler içeren bir güvenlik bültenini yayınladı.
IOC'lerden biri, tehdit aktörlerinin Snowflake'in veritabanlarından verileri yaymak için 'tecavüz' adlı özel bir araç oluşturduğunu gösteriyor.
Bir diğeri, DBeaver Ultimate Veri Yönetimi araçlarını kullanarak veritabanlarına bağlanan tehdit aktörlerini, 'DBeaver_DBeaverulten' kullanıcı aracısından istemci bağlantılarını gösteren günlüklerle gösterdi.
Ticketmaster, çevrimiçi satılık çalınan verilerden sonra büyük ihlalleri onayladı
İddia ettikten sonra satılık 560 milyon Ticketmaster müşterisinin verileri
AI Platform Hugging Face, bilgisayar korsanlarının Auth Tokens'i boşluklardan çaldığını söylüyor
Shinyhunters, Santander ihlalini, 30 metrelik müşteriler için veri sattığını iddia ediyor
DMM Bitcoin, bilgisayar korsanlarının Bitcoin'de 300 milyon dolar çaldığı konusunda uyarıyor
Kaynak: Bleeping Computer