Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
▼
junio
(Total:
114
)
- Listas IPTV para tener 10.000 canales gratis en tu...
- Windows 10 tendrá 5 años más de actualizaciones de...
- Dos detenidos por hackear más de 100 organismos de...
- Proveedor de Internet infecta a sus propios usuari...
- UEFI, la versión mejorada de la BIOS
- YouTube negocia con la industria musical para gene...
- Moto Tag: el nuevo AirTag de Motorola es el mejor ...
- Ataque a la cadena de suministro: más de 100.000 s...
- Plugins oficiales de WordPress contienen puerta tr...
- SUPERSEGA: el proyecto español de una consola capa...
- La DGT de España obligará a partir de julio a mont...
- Julian Assange, fundador de Wikileaks, queda en li...
- El grupo de ransomware LockBit ataca a la Reserva ...
- ¿Qué son los bots OTP y cómo funcionan para saltar...
- Vulnerabilidad crítica de Microsoft Outlook sin in...
- Europa acusa a Microsoft de infringir las normas a...
- Meta y Apple estarían negociando una alianza en in...
- Google prepara chatbots de IA basados en celebrida...
- Microsoft elimina la guía de cómo convertir cuenta...
- New+, la nueva función de PowerToys
- Europa acusa a Apple de violar la DMA y abre una i...
- Desarrollador logra ejecutar Blender, una potente ...
- SELKS 10: la distribución especializada en la segu...
- Apple sufre un hackeo de 3 programas internos por ...
- Dell intentó obligar a sus empleados a volver a la...
- Un ataque de ransomware retrasa la operación de cá...
- ¿Qué ha sido de los fundadores de WhatsApp, Jan Ko...
- VMware publica parches para tres vulnerabilidades ...
- Instagram muestra contenido para adultos a menores
- Claude 3.5 Sonnet: la nueva IA superior a GPT-4o ...
- Estados Unidos prohíbe Kaspersky por motivos de se...
- La IA puede ayudar a detectar el párkinson 7 años ...
- Europa quiere escanear todos tus mensajes, fotos y...
- Nvidia supera a Microsoft y se convierte en la emp...
- Las nuevas Copilot+ PC son incapaces de ejecutar l...
- Ilya Sutskever, cofundador de OpenAI, anuncia una ...
- Características avanzadas de SpanningTree: PortFas...
- Android hará más segura la instalación de APKs
- Vulnerabilidades en terminales biométricos
- Malware muestra errores falsos para que ejecutes s...
- NVIDIA AI Workbench, crear y probar aplicaciones g...
- China ya tiene su Terminator, un comandante milita...
- El grupo Amper victima del grupo de ransomware Bla...
- El primer conector óptico PCI-Express 7.0 alcanza ...
- El switch de red más pequeño y barato del mundo cr...
- Florida usa drones para eliminar mosquitos
- Cómo robaron datos de Ticketmaster y el Banco Sant...
- Adobe se enfrenta a una multa millonaria por impon...
- Puerta trasera en algunos routers D-Link
- MySpeed: monitorizar conexión a internet
- Google crea nuevas reglas para garantizar que los ...
- YouTube lanza su propia versión de las "notas de l...
- Nueva oleada de SMS falsos de la DGT por multas im...
- El robo de cuentas de WhatsApp crece casi un 700% ...
- Descubierta la geolocalización de visitantes de la...
- Qué es un condensador y cuál es su función en la p...
- Una vecina de Barcelona le da 695.000€ a un timado...
- AlmaLinux anuncia soporte oficial para Raspberry Pi 5
- systemd 256 llega con run0, el ‘clon’ de sudo que ...
- Vulnerabilidad path traversal en SolarWinds Serv-U...
- Crean una IA capaz de traducir los ladridos de tu ...
- Cómo evitar que Meta use tus datos de Instagram y ...
- Parche urgente de Microsoft para driver WiFi que p...
- Troyano "stealer" instalados a través de falsos KM...
- Stable Diffusion presenta una IA tan ligera que pu...
- MediaTek estaría trabajando en un chipset con IA p...
- Exempleados de SpaceX demandan a Elon Musk por aco...
- Cómo proteger correctamente el envío del DNI en Es...
- Recursos y páginas de Inteligencia Artificial para...
- Photopea es la alternativa gratuita desde el naveg...
- ¿Cómo afecta la temperatura de funcionamiento a la...
- Los datos privados robados a Carrefour propician e...
- Elon Musk elimina de X (Twitter) los "Me Gusta" po...
- Microsoft añadirá obligatoriamente 2FA a partir de...
- Vulnerabilidad crítica y exploit para Veeam Backup...
- Apple se niega a pagar a Kaspersky la recompensa p...
- Adobe Photoshop pide acceso a todo el contenido in...
- Apple se asocia con OpenAI para ofrecer IA en sus ...
- El histórico reproductor Winamp ya tiene una edici...
- Apple presenta un gestor de contraseñas llamado Pa...
- Vulnerabilidad en PHP (modo CGI) para Windows
- Roban 270GB de código fuente del The New York Times
- Estafa de la videollamada por WhatsApp compartiend...
- Actualización automática y forzosa BIOS defectuosa...
- Detenido en Murcia un ciberdepredador sexual de ni...
- Crean la impresora 3D más pequeña del mundo del ta...
- TotalRecall extrae los datos recopilados por Windo...
- Programas de Linux para recuperar datos y reparar ...
- Ponen a la venta datos de 27.000 clientes de El Co...
- YouTube te lleva directamente al final del video ...
- Parrot 6.1 llega con soporte para la Raspberry Pi ...
- El FBI recupera 7.000 claves de cifrado del ransom...
- Elon Musk permitirá contenido para adultos en Twitter
- Kali Linux 2024.2 llega con GNOME 46 y nuevas herr...
- Vulnerabilidad 0-day en TikTok permite secuestro d...
- La IA llega a las PowerToys de Windows con el "peg...
- Napster cumple 25 años, la primera red P2P cambió ...
- Un ataque de ransomware paraliza hospitales de Lon...
- Detenido el secuestrador de cuentas de WhatsApp, “...
- Filtración de datos en Heineken afecta a 9.000 emp...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
-
A pesar de que disponemos de gran cantidad de comandos en Windows 10 para realizar tareas de configuración y abrir aplicaciones, este no e...
Cómo robaron datos de Ticketmaster y el Banco Santander gracias a Snowflake
El grupo ShinyHunters cuenta que consiguieron acceder a la cuenta en la nube Snowflake de Ticketmaster, y a otras, vulnerando primero los sistemas de un proveedor externo.
Robaron terabytes de datos de Ticketmaster y otros clientes de la empresa de almacenamiento en la nube Snowflake aseguran que obtuvieron acceso a algunas de las cuentas vulnerando primero los sistemas de un proveedor de origen bielorruso que trabaja con esos usuarios.
Unas 165 cuentas se vieron potencialmente afectadas en la reciente campaña de hackeo dirigida a los clientes de Snowflake, pero hasta ahora solo se han identificado algunas de ellas. Además de Ticketmaster, la entidad bancaria Santander también reconoció que su cuenta de Snowflake había sido atacada; los datos robados incluían detalles bancarios de 30 millones de clientes, entre ellos seis millones de números de cuenta y saldos, 28 millones de números de tarjetas de crédito e información de recursos humanos sobre el personal, según un post publicado. Las compañías Lending Tree y Advance Auto Parts comunicaron que también podrían ser víctimas.
El supuesto proceso de hackeo de Snowflake
Snowflake no ha revelado detalles sobre cómo accedieron a las cuentas, limitándose a decir que los intrusos no se introdujeron directamente en su red. Esta semana, la firma de seguridad Mandiant, propiedad de Google, una de las empresas contratadas por Snowflake para investigar las intrusiones, reveló en una publicación de blog que, en algunos casos, obtuvieron primero acceso a través de contratistas externos, sin identificar a los proveedores ni especificar de qué modo este recurso ayudó a los ciberdelincuentes a entrar en las cuentas de Snowflake.
Una de esas empresas era EPAM Systems, dedicada a la ingeniería de software y servicios digitales y que cotiza en la bolsa, fundada por Arkadiy Dobkin, nacido en Bielorrusia, con unos ingresos actuales de unos 4,800 millones de dólares. Asegura que su grupo, que se hace llamar ShinyHunters, se sirvió de los datos encontrados en un sistema de empleados de EPAM para acceder a algunas de las cuentas de Snowflake.
EPAM declaró a que no cree que haya desempeñado ningún papel en las filtraciones y sugirió que se había inventado la historia. ShinyHunters existe desde 2020 y ha sido responsable de numerosas intrusiones desde entonces, consistentes en robar grandes cantidades de datos y difundirlos o venderlos en internet.
Snowflake es una empresa de almacenamiento y análisis de datos de gran tamaño que proporciona herramientas para que las compañías obtengan inteligencia y conocimientos a partir de la información de los clientes. EPAM desarrolla software y presta diversos servicios gestionados a clientes de todo el mundo, principalmente de Norteamérica, Europa, Asia y Australia, según su sitio web, y aproximadamente el 60% de sus ingresos proceden de Norteamérica. Entre los servicios que EPAM presta está la asistencia en el uso y la gestión de sus cuentas de Snowflake para almacenar y analizar su información. EPAM sostiene que cuenta con unos 300 trabajadores experimentados en el uso de las herramientas y servicios de análisis de datos de Snowflake, y anunció en 2022 que había alcanzado el estatus de “Socio de nivel de élite” con Snowflake y así aprovechar la plataforma de este último para sus usuarios.
>El fundador de EPAM emigró de Bielorrusia a Estados Unidos en los noventa, antes de fundar su compañía en 1993 desde su departamento de Nueva Jersey. Casi dos tercios de los 55,000 empleados de EPAM residían en Ucrania, Bielorrusia y Rusia hasta que esta última invadió Ucrania, momento en el que la empresa manifiesta que cerró sus operaciones en Rusia y trasladó a algunos de sus trabajadores ucranianos a ubicaciones fuera de ese país.
Afirma que una computadora perteneciente a uno de los empleados de EPAM en Ucrania fue infectada con un malware info-stealer (destinado a robar credenciales) a través de un ataque de spear-phishing, una modalidad en la que, a través de un email sumamente personalizado para hacer más creíble el engaño, los ciberdelincuentes solicitan información sobre una organización a un objetivo específico dentro de ella.
No está claro si alguien de ShinyHunters llevó a cabo esta violación inicial o simplemente compró el acceso al sistema infectado a otra persona que hackeó al trabajador e instaló el info-stealer. Indica que, una vez en el sistema del empleado de EPAM, instaló un troyano de acceso remoto que le permitió ingresar por completo a todo lo que había en el equipo del trabajador.
Mediante este acceso, cuenta, encontraron nombres de usuario y contraseñas sin cifrar que el trabajador utilizó para consultar y administrar las cuentas Snowflake de los clientes de EPAM, incluida una para Ticketmaster. Ssostiene que las credenciales estaban almacenadas en la máquina del empleado en una herramienta de gestión de proyectos llamada Jira. Lograron aprovechar esas credenciales, comparte, para entrar a las cuentas de Snowflake porque estas no requerían autenticación multifactor (MFA, por sus siglas en inglés). La MFA requiere que se introduzca un código temporal de un solo uso, además de un nombre de usuario y una contraseña, lo que hace que las cuentas con este tipo de autenticación sean más seguras.
Aunque EPAM niega estar implicada en la filtración, robaron datos de cuentas de Snowflake, incluida la de Ticketmaster, y han extorsionado a los propietarios de los mismos exigiéndoles miles de dólares, y en algunos casos más de un millón, para destruir la información o arriesgarse a que los ciberdelincuentes la vendan en otro lugar.
No identificó a todas las víctimas que fueron atacadas a través de EPAM, pero sí indicó que Ticketmaster era una de ellas. Esta última no respondió a la solicitud de comentarios, pero su empresa matriz, Live Nation, admitió el robo de información de su cuenta Snowflake en mayo, sin revelar cuántos datos fueron sustraídos ni cómo accedieron. Sin embargo, en un post en el que se pusieron los datos a la venta, los ciberdelincuentes indicaron que se habían apoderado de los datos de 560 millones de consumidores de Ticketmaster.
El informante de ShinyHunters manifiesta que en algunos casos consiguieron acceder directamente a la cuenta Snowflake de los clientes de EPAM mediante los nombres de usuario y contraseñas en texto sin formato que encontraron en la computadora del empleado de EPAM. Pero en los casos en que las credenciales de Snowflake no estaban almacenadas en el sistema del trabajador, sostiene que examinaron las colecciones de credenciales antiguas robadas en violaciones anteriores por cibercriminales que recurrieron a malware info-stealer y hallaron otros nombres de usuario y contraseñas para cuentas de Snowflake, incluidas las obtenidas de la máquina del mismo trabajador de EPAM en Ucrania.
Info-stealers: malware protagonista en el hackeo de Ticketmaster
Las credenciales obtenidas por los info-stealers a menudo se publican en internet o se ponen a la venta en foros Si las víctimas no modifican sus credenciales de acceso después de una intrusión, o no saben que sus datos fueron robados, estas permanecen activas y disponibles durante años. Es especialmente problemático si esas credenciales se usan en varias cuentas; logran identificar al usuario a través de la dirección de email que emplea como credencial de inicio de sesión, y si esa persona reutiliza la misma contraseña, pueden simplemente probar esas credenciales en varios sitios.
Aseguran que lograron valerse de las credenciales robadas por un info-stealer en 2020 para acceder a las cuentas de Snowflake.
No se pudo confirmar de forma independiente que hayan entrado al equipo del empleado de EPAM o que utilizaran a la empresa para obtener los datos de Ticketmaster y de otras cuentas de Snowflake, pero nos proporcionó un archivo que parece ser una lista de credenciales del trabajador de EPAM extraídas de la base de datos Active Directory de la compañía después de que obtuvieran acceso a su computadora.
Además, en el post del blog escrito por Mandiant, que se publicó después de que informara sobre el uso por parte de su grupo de datos recopilados por info-stealers, la firma de seguridad reveló que los ciberdelincuentes que vulneraron las cuentas de Snowflake se sirvieron de información antigua sustraída por esta clase de malware para acceder a algunas de las cuentas. Mandiant declaró que alrededor del 80% de las víctimas que identificó en la campaña Snowflake se vieron comprometidas mediante credenciales que previamente habían sido robadas y expuestas por info-stealers.
Y un investigador de seguridad independiente que ha estado ayudando a negociar las transacciones del rescate entre ShinyHunter y las víctimas de la campaña Snowflake señaló un repositorio online de datos obtenidos por un info-stealer que incluye información extraída de la computadora del empleado de EPAM en Ucrania que se utilizó para acceder a las cuentas de Snowflake. Estos datos robados incluyen el historial de navegación del trabajador, que revela su nombre completo. También contienen una URL interna de EPAM que apunta a la cuenta en Snowflake de Ticketmaster, así como una versión en texto sin formato del nombre de usuario y la contraseña con los que el empleado de EPAM entraba en la cuenta.
“Esto significa que [un trabajador de EPAM] quien tenía acceso a [esa cuenta en] Snowflake poseía malware para robar contraseñas en su computadora, y su contraseña fue robada y vendida en la dark web”, destaca el investigador, quien pidió ser identificado únicamente como Reddington, una identidad que emplea en internet para comunicarse con los ciberdelincuentes. “Esto significa que cualquiera que conociera la URL correcta de Snowflake [para Ticketmaster] habría podido simplemente buscar la contraseña, iniciar sesión y robar la información”.
Cuando se puso en contacto con EPAM a principios de esta semana, una representante de la misma no parecía tener conocimiento de que su empresa hubiera desempeñado supuestamente un papel en el hackeo de las cuentas de Snowflake. “No hacemos comentarios sobre situaciones de las que no formamos parte”, escribió en un email, sugiriendo que la compañía no creía haberse involucrado de ninguna manera en la campaña. Cuando le proporcionó a la vocera detalles sobre cómo los ciberdelincuentes aseguran que obtuvieron acceso al sistema de un trabajador de EPAM en Ucrania, respondió: “Difunden con frecuencia información falsa para promover sus agendas. Mantenemos una política de no participar en la desinformación y defendemos sistemáticamente sólidas medidas de seguridad para proteger nuestras operaciones y a nuestros clientes. Continuamos nuestra exhaustiva investigación y, en este momento, no vemos pruebas que sugieran que nos hayamos visto afectados o implicados en este asunto”.
Se hizo un seguimiento facilitando el nombre del empleado ucraniano cuyo equipo fue supuestamente comprometido, así como el usuario y la contraseña con los que ingresaba a la cuenta en Snowflake de Ticketmaster, pero la vocera no respondió a ninguna pregunta adicional.
Es posible que los integrantes de ShinyHunter no hackearan directamente al trabajador de EPAM, y simplemente accedieran a las cuentas de Snowflake mediante nombres de usuario y contraseñas que obtuvieron de antiguos repositorios de credenciales robadas por info-stealers. Pero, como señala Reddington, esto significa que cualquier otra persona puede buscar en tales registros éstas y otras credenciales sustraídas de cuentas de EPAM. Reddington comenta que encontraron datos en internet que fueron aprovechados por nueve info-stealers diferentes para recopilar información de las máquinas de los trabajadores de EPAM. Esto plantea preocupaciones potenciales sobre la seguridad de los datos pertenecientes a otros clientes de esta empresa.
EPAM tiene clientes en varios sectores críticos, como bancos y otros servicios financieros, atención médica, canales de transmisión, farmacéutica, energía y otros servicios públicos, seguros y software y alta tecnología; entre estos últimos figuran Microsoft, Google, Adobe y Amazon Web Services. Sin embargo, no está claro si alguna de estas compañías dispone de cuentas en Snowflake a las que tengan acceso los trabajadores de EPAM. Tampoco ha podido confirmar si Ticketmaster, Santander, Lending Tree o Advance AutoParts son clientes de EPAM.
La campaña Snowflake también destaca los crecientes riesgos de seguridad de las empresas de terceros en general y de los info-stealers. En la entrada de su blog de esta semana, Mandiant sugería que se había vulnerado la seguridad de varios contratistas para acceder a las cuentas de Snowflake, señalando que los proveedores, a menudo conocidos como compañías de subcontratación de procesos empresariales (BPO, por sus siglas en inglés), son una mina de oro potencial, porque comprometer la máquina de un contratista que tiene acceso a las cuentas de varios clientes puede permitirles entrar directamente en muchas de ellas.
Fuentes:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.