Se ha revelado por parte del grupo ShinyHunters que se consiguió acceder a la cuenta en la nube Snowflake de Ticketmaster y otras por medio de un proveedor externo.
Alrededor de 165 cuentas se vieron potencialmente afectadas en la reciente campaña de hackeo dirigida a los clientes de Snowflake, pero hasta ahora solo se han identificado algunas de ellas. Además de Ticketmaster, la entidad bancaria Santander también reconoció que su cuenta de Snowflake había sido atacada; los datos robados incluían detalles bancarios de 30 millones de clientes, entre ellos seis millones de números de cuenta y saldos, 28 millones de números de tarjetas de crédito e información de recursos humanos sobre el personal, según un post publicado.
La firma de seguridad Mandiant, propiedad de Google, una de las empresas contratadas por Snowflake para investigar las intrusiones, reveló en una publicación de blog que, en algunos casos, obtuvieron primero acceso a través de contratistas externos, sin identificar a los proveedores ni especificar de qué modo este recurso ayudó a los ciberdelincuentes a entrar en las cuentas de Snowflake.
Una de esas empresas era EPAM Systems, dedicada a la ingeniería de software y servicios digitales, fundada por Arkadiy Dobkin, nacido en Bielorrusia, Asegura que su grupo llamado ShinyHunters, se sirvió de los datos encontrados en un sistema de empleados de EPAM para acceder a algunas de las cuentas de Snowflake.
El fundador de la EPAM Afirma que una computadora perteneciente a uno de los empleados de la empresa en Ucrania fue infectada con un malware info-stealer (destinado a robar credenciales) a través de un ataque de spear-phishing, una modalidad en la que, a través de un email sumamente personalizado para hacer más creíble el engaño, los ciberdelincuentes solicitan información sobre una organización a un objetivo específico dentro de ella.
No está claro si alguien de ShinyHunters llevó a cabo esta violación inicial o simplemente compró el acceso al sistema infectado a otra persona que hackeó al trabajador e instaló el info-stealer. Indica que, una vez en el sistema del empleado de EPAM, instaló un troyano de acceso remoto que le permitió ingresar por completo a todo lo que había en el equipo del trabajador.
Mediante este acceso encontraron nombres de usuario y contraseñas sin cifrar que el trabajador utilizó para consultar y administrar las cuentas Snowflake de los clientes de EPAM, incluida una para Ticketmaster. Sostiene que las credenciales estaban almacenadas en la máquina del empleado en una herramienta de gestión de proyectos llamada Jira.
Aunque no se identificó a todas las víctimas que fueron atacadas a través de EPAM, sí se indicó que Ticketmaster era una de ellas por medio de la empresa matriz, Live Nation, que admitió el robo de información de su cuenta Snowflake en mayo, sin revelar cuántos datos fueron sustraídos ni cómo accedieron. Sin embargo, en un post en el que se pusieron los datos a la venta, los ciberdelincuentes indicaron que se habían apoderado de los datos de 560 millones de consumidores de Ticketmaster.
El informante de ShinyHunters manifiesta que en algunos casos consiguieron acceder directamente a la cuenta Snowflake de los clientes de EPAM mediante los nombres de usuario y contraseñas en texto sin formato que encontraron en la computadora del empleado de EPAM. Pero en los casos en que las credenciales de Snowflake no estaban almacenadas en el sistema del trabajador, sostiene que examinaron las colecciones de credenciales antiguas robadas en violaciones anteriores por cibercriminales que recurrieron a malware info-stealer y hallaron otros nombres de usuario y contraseñas para cuentas de Snowflake, incluidas las obtenidas de la máquina del mismo trabajador de EPAM en Ucrania.
Info-stealers: malware protagonista en el hackeo de Ticketmaster
Las credenciales obtenidas por los info-stealers a menudo se publican en internet o se ponen a la venta en foros si las víctimas no modifican sus credenciales de acceso después de una intrusión, o no saben que sus datos fueron robados, estas permanecen activas y disponibles durante años. Es especialmente problemático si esas credenciales se usan en varias cuentas; logran identificar al usuario a través de la dirección de email que emplea como credencial de inicio de sesión, y si esa persona reutiliza la misma contraseña, pueden simplemente probar esas credenciales en varios sitios.
Además, en el post del blog escrito por Mandiant, que se publicó después de que informara sobre el uso por parte de su grupo de datos recopilados por info-stealers, la firma de seguridad reveló que los ciberdelincuentes que vulneraron las cuentas de Snowflake se sirvieron de información antigua sustraída por esta clase de malware para acceder a algunas de las cuentas.
Por otro lado, un investigador de seguridad independiente que ha estado ayudando a negociar las transacciones del rescate entre ShinyHunter y las víctimas de la campaña Snowflake señaló un repositorio online de datos obtenidos por un info-stealer que incluye información extraída de la computadora del empleado de EPAM en Ucrania que se utilizó para acceder a las cuentas de Snowflake. Estos datos robados incluyen el historial de navegación del trabajador, que revela su nombre completo. También contienen una URL interna de EPAM que apunta a la cuenta en Snowflake de Ticketmaster, así como una versión en texto sin formato del nombre de usuario y la contraseña con los que el empleado de EPAM entraba en la cuenta.
Es posible que los integrantes de ShinyHunter no hackearan directamente al trabajador de EPAM, y simplemente accedieran a las cuentas de Snowflake mediante nombres de usuario y contraseñas que obtuvieron de antiguos repositorios de credenciales robadas por info-stealers. Pero, como señala Reddington, esto significa que cualquier otra persona puede buscar en tales registros éstas y otras credenciales sustraídas de cuentas de EPAM. Reddington comenta que encontraron datos en internet que fueron aprovechados por nueve info-stealers diferentes para recopilar información de las máquinas de los trabajadores de EPAM. Esto plantea preocupaciones potenciales sobre la seguridad de los datos pertenecientes a otros clientes de esta empresa. Fuentes: https://es.wired.com/articulos/hackers-explican-a-wired-como-robaron-datos-de-ticketmaster-a-snowflake?fbclid=IwZXh0bgNhZW0CMTAAAR2P4lIonMsTfIoKN67fsUkKwQOme1FuM4gH7yup8mwnvh5mJ3gbLwJ7e5s_aem_EcexGYDSwnGkmhOytmrWWg
Comments