Лавина взломов может превзойти прошлогодний инцидент с перемещением MOVEit.
Ситуация, разворачивающаяся вокруг компании Snowflake, продолжает стремительно набирать обороты. Каждый день происходит что-то похожее на прошлогодний взлом платформы MOVEit Transfer, размещенной вымогательской группой Clop. В то время жертвами хакеров стали сотни организаций, но Snowflake не так уж и запоздала и несет интернет-сообществу цифровую катастрофу аналогичного масштаба.
Вот почему неизвестная финансово мотивированная преступная группа, отслеживаемая экспертами Mandiant под кодовым названием UNC5537, использовала украденные учетные данные для кражи значительного объема данных из базы данных клиентов Snowflake.
По данным экспертов, на данный момент уведомлены только 165 организаций, которые могут быть затронуты, но на самом деле их может быть больше. Преступники UNC5537 являются частью разрозненной группировки spider, известной тем, что в прошлом году якобы взломали отели и казино Лас-Вегаса.
В ходе расследования инцидента Mandiant и Snowflake выявили, что утечка данных произошла из-за взлома учетных данных клиента. Сама корпоративная среда Snowflake не была взломана.
Первая атака на клиента Snowflake была зафиксирована 14.04.2014. В ходе расследования было установлено, что UNC5537 использовал законные учетные данные, ранее украденные вредоносной программой, для проникновения в систему жертвы и кражи данных. У жертвы не была включена многофакторная аутентификация.
Примерно через месяц, обнаружив некоторые нарушения прав клиентов, Mandiant и Snowflake начали уведомлять пострадавшие организации. Уже 24 февраля злоумышленники начали продавать украденные данные в Интернете, а 30 декабря Snowflake опубликовала заявление об этом.
Мы использовали обе версии утилит .NET и Java для запуска аналитики в клиентской системе Snowflake для идентификации пользователей, их ролей и IP-адресов. Утилита DBeaver Ultimate также использовалась для выполнения запросов к базе данных.
На устройствах подрядчика, используемых как в рабочих, так и в личных целях, произошел некоторый сбой. Эти устройства представляют значительный риск, поскольку заражение одной вредоносной программой может обеспечить злоумышленнику доступ сразу к нескольким организациям.
Все успешные атаки имели 3 общие черты: отсутствие настроенной многофакторной аутентификации, использование действительных украденных учетных данных и отсутствие сетевого белого списка.
Отдельно стоит отметить случаи с Ticketmaster и банком Santander. Изначально предполагалось, что массовая утечка их данных была связана со взломом Snowflake, но позже это было опровергнуто. В конечном счете, Snowflake заявила, что аккаунты этих клиентов были взломаны.Это также связано с использованием 1-факторной аутентификации.
Позже американская финансовая компания LendingTree подтвердила, что ее дочерняя компания QuoteWizard, специализирующаяся на страховании, пострадала от взлома. По словам представителя LendingTree, расследование продолжается, и никаких утечек финансовой информации клиентов или собственных данных LendingTree пока выявлено не было.
Некоторое время спустя компания Pure Storage, специализирующаяся на разработке и производстве решений для хранения данных на базе flash, также объявила о взломе. Компания также подтвердила, что пострадала от взлома своей учетной записи Snowflake. В опубликованном сообщении компания заверила, что данные клиентов не были скомпрометированы и что взлом затронул только 1 рабочее пространство Snowflake.
По данным Mandiant, киберпреступная группа UNC5537 использует учетные данные, украденные вредоносным ПО, с 2020 года. Примерно 80% всех пострадавших организаций использовали ранее скомпрометированные учетные данные.
Hudson Rock впервые привлек внимание к серии взломов клиентов Snowflake. Но их отчет был быстро удален после вмешательства юриста Snowflake, который оспорил обвинения во взломе учетных записей сотрудников Snowflake. Тем не менее, возможно, без упорства и честности Snowflake больше компаний будут уведомлены о масштабах проблемы и быстрее предпримут шаги для своей защиты.
В будущем вы еще не раз услышите о том, как та или иная компания будет подтверждать компрометацию системы, связанную с платформой Snowflake.1 Аналогичная ситуация с MOVEit Transfer напоминала о себе даже спустя 1 год после атаки.
А как считаете вы? Делитесь своим мнением в комментариях!