El grupo ShinyHunters cuenta que consiguieron acceder a la cuenta en la nube Snowflake de Ticketmaster, y a otras, vulnerando primero los sistemas de un proveedor externo.
Robaron terabytes de datos de Ticketmaster y otros clientes de la empresa de almacenamiento en la nube Snowflake aseguran que obtuvieron acceso a algunas de las cuentas vulnerando primero los sistemas de un proveedor de origen bielorruso que trabaja con esos usuarios.
Unas 165 cuentas se vieron potencialmente afectadas en la reciente campaña de hackeo dirigida a los clientes de Snowflake, pero hasta ahora solo se han identificado algunas de ellas. Además de Ticketmaster, la entidad bancaria Santander también reconoció que su cuenta de Snowflake había sido atacada; los datos robados incluían detalles bancarios de 30 millones de clientes, entre ellos seis millones de números de cuenta y saldos, 28 millones de números de tarjetas de crédito e información de recursos humanos sobre el personal, según un post publicado. Las compañías Lending Tree y Advance Auto Parts comunicaron que también podrían ser víctimas.
El supuesto proceso de hackeo de Snowflake
Snowflake no ha revelado detalles sobre cómo accedieron a las cuentas, limitándose a decir que los intrusos no se introdujeron directamente en su red. Esta semana, la firma de seguridad Mandiant, propiedad de Google, una de las empresas contratadas por Snowflake para investigar las intrusiones, reveló en una publicación de blog que, en algunos casos, obtuvieron primero acceso a través de contratistas externos, sin identificar a los proveedores ni especificar de qué modo este recurso ayudó a los ciberdelincuentes a entrar en las cuentas de Snowflake.
Una de esas empresas era EPAM Systems, dedicada a la ingeniería de software y servicios digitales y que cotiza en la bolsa, fundada por Arkadiy Dobkin, nacido en Bielorrusia, con unos ingresos actuales de unos 4,800 millones de dólares. Asegura que su grupo, que se hace llamar ShinyHunters, se sirvió de los datos encontrados en un sistema de empleados de EPAM para acceder a algunas de las cuentas de Snowflake.
EPAM declaró a que no cree que haya desempeñado ningún papel en las filtraciones y sugirió que se había inventado la historia. ShinyHunters existe desde 2020 y ha sido responsable de numerosas intrusiones desde entonces, consistentes en robar grandes cantidades de datos y difundirlos o venderlos en internet.
Snowflake es una empresa de almacenamiento y análisis de datos de gran tamaño que proporciona herramientas para que las compañías obtengan inteligencia y conocimientos a partir de la información de los clientes. EPAM desarrolla software y presta diversos servicios gestionados a clientes de todo el mundo, principalmente de Norteamérica, Europa, Asia y Australia, según su sitio web, y aproximadamente el 60% de sus ingresos proceden de Norteamérica. Entre los servicios que EPAM presta está la asistencia en el uso y la gestión de sus cuentas de Snowflake para almacenar y analizar su información. EPAM sostiene que cuenta con unos 300 trabajadores experimentados en el uso de las herramientas y servicios de análisis de datos de Snowflake, y anunció en 2022 que había alcanzado el estatus de “Socio de nivel de élite” con Snowflake y así aprovechar la plataforma de este último para sus usuarios.
>El fundador de EPAM emigró de Bielorrusia a Estados Unidos en los noventa, antes de fundar su compañía en 1993 desde su departamento de Nueva Jersey. Casi dos tercios de los 55,000 empleados de EPAM residían en Ucrania, Bielorrusia y Rusia hasta que esta última invadió Ucrania, momento en el que la empresa manifiesta que cerró sus operaciones en Rusia y trasladó a algunos de sus trabajadores ucranianos a ubicaciones fuera de ese país.
Afirma que una computadora perteneciente a uno de los empleados de EPAM en Ucrania fue infectada con un malware info-stealer (destinado a robar credenciales) a través de un ataque de spear-phishing, una modalidad en la que, a través de un email sumamente personalizado para hacer más creíble el engaño, los ciberdelincuentes solicitan información sobre una organización a un objetivo específico dentro de ella.
No está claro si alguien de ShinyHunters llevó a cabo esta violación inicial o simplemente compró el acceso al sistema infectado a otra persona que hackeó al trabajador e instaló el info-stealer. Indica que, una vez en el sistema del empleado de EPAM, instaló un troyano de acceso remoto que le permitió ingresar por completo a todo lo que había en el equipo del trabajador.
Mediante este acceso, cuenta, encontraron nombres de usuario y contraseñas sin cifrar que el trabajador utilizó para consultar y administrar las cuentas Snowflake de los clientes de EPAM, incluida una para Ticketmaster. Ssostiene que las credenciales estaban almacenadas en la máquina del empleado en una herramienta de gestión de proyectos llamada Jira. Lograron aprovechar esas credenciales, comparte, para entrar a las cuentas de Snowflake porque estas no requerían autenticación multifactor (MFA, por sus siglas en inglés). La MFA requiere que se introduzca un código temporal de un solo uso, además de un nombre de usuario y una contraseña, lo que hace que las cuentas con este tipo de autenticación sean más seguras.
Aunque EPAM niega estar implicada en la filtración, robaron datos de cuentas de Snowflake, incluida la de Ticketmaster, y han extorsionado a los propietarios de los mismos exigiéndoles miles de dólares, y en algunos casos más de un millón, para destruir la información o arriesgarse a que los ciberdelincuentes la vendan en otro lugar.
No identificó a todas las víctimas que fueron atacadas a través de EPAM, pero sí indicó que Ticketmaster era una de ellas. Esta última no respondió a la solicitud de comentarios, pero su empresa matriz, Live Nation, admitió el robo de información de su cuenta Snowflake en mayo, sin revelar cuántos datos fueron sustraídos ni cómo accedieron. Sin embargo, en un post en el que se pusieron los datos a la venta, los ciberdelincuentes indicaron que se habían apoderado de los datos de 560 millones de consumidores de Ticketmaster.
El informante de ShinyHunters manifiesta que en algunos casos consiguieron acceder directamente a la cuenta Snowflake de los clientes de EPAM mediante los nombres de usuario y contraseñas en texto sin formato que encontraron en la computadora del empleado de EPAM. Pero en los casos en que las credenciales de Snowflake no estaban almacenadas en el sistema del trabajador, sostiene que examinaron las colecciones de credenciales antiguas robadas en violaciones anteriores por cibercriminales que recurrieron a malware info-stealer y hallaron otros nombres de usuario y contraseñas para cuentas de Snowflake, incluidas las obtenidas de la máquina del mismo trabajador de EPAM en Ucrania.
Info-stealers: malware protagonista en el hackeo de Ticketmaster
Las credenciales obtenidas por los info-stealers a menudo se publican en internet o se ponen a la venta en foros Si las víctimas no modifican sus credenciales de acceso después de una intrusión, o no saben que sus datos fueron robados, estas permanecen activas y disponibles durante años. Es especialmente problemático si esas credenciales se usan en varias cuentas; logran identificar al usuario a través de la dirección de email que emplea como credencial de inicio de sesión, y si esa persona reutiliza la misma contraseña, pueden simplemente probar esas credenciales en varios sitios.
Aseguran que lograron valerse de las credenciales robadas por un info-stealer en 2020 para acceder a las cuentas de Snowflake.
No se pudo confirmar de forma independiente que hayan entrado al equipo del empleado de EPAM o que utilizaran a la empresa para obtener los datos de Ticketmaster y de otras cuentas de Snowflake, pero nos proporcionó un archivo que parece ser una lista de credenciales del trabajador de EPAM extraídas de la base de datos Active Directory de la compañía después de que obtuvieran acceso a su computadora.
Además, en el post del blog escrito por Mandiant, que se publicó después de que informara sobre el uso por parte de su grupo de datos recopilados por info-stealers, la firma de seguridad reveló que los ciberdelincuentes que vulneraron las cuentas de Snowflake se sirvieron de información antigua sustraída por esta clase de malware para acceder a algunas de las cuentas. Mandiant declaró que alrededor del 80% de las víctimas que identificó en la campaña Snowflake se vieron comprometidas mediante credenciales que previamente habían sido robadas y expuestas por info-stealers.
Y un investigador de seguridad independiente que ha estado ayudando a negociar las transacciones del rescate entre ShinyHunter y las víctimas de la campaña Snowflake señaló un repositorio online de datos obtenidos por un info-stealer que incluye información extraída de la computadora del empleado de EPAM en Ucrania que se utilizó para acceder a las cuentas de Snowflake. Estos datos robados incluyen el historial de navegación del trabajador, que revela su nombre completo. También contienen una URL interna de EPAM que apunta a la cuenta en Snowflake de Ticketmaster, así como una versión en texto sin formato del nombre de usuario y la contraseña con los que el empleado de EPAM entraba en la cuenta.
“Esto significa que [un trabajador de EPAM] quien tenía acceso a [esa cuenta en] Snowflake poseía malware para robar contraseñas en su computadora, y su contraseña fue robada y vendida en la dark web”, destaca el investigador, quien pidió ser identificado únicamente como Reddington, una identidad que emplea en internet para comunicarse con los ciberdelincuentes. “Esto significa que cualquiera que conociera la URL correcta de Snowflake [para Ticketmaster] habría podido simplemente buscar la contraseña, iniciar sesión y robar la información”.
Cuando se puso en contacto con EPAM a principios de esta semana, una representante de la misma no parecía tener conocimiento de que su empresa hubiera desempeñado supuestamente un papel en el hackeo de las cuentas de Snowflake. “No hacemos comentarios sobre situaciones de las que no formamos parte”, escribió en un email, sugiriendo que la compañía no creía haberse involucrado de ninguna manera en la campaña. Cuando le proporcionó a la vocera detalles sobre cómo los ciberdelincuentes aseguran que obtuvieron acceso al sistema de un trabajador de EPAM en Ucrania, respondió: “Difunden con frecuencia información falsa para promover sus agendas. Mantenemos una política de no participar en la desinformación y defendemos sistemáticamente sólidas medidas de seguridad para proteger nuestras operaciones y a nuestros clientes. Continuamos nuestra exhaustiva investigación y, en este momento, no vemos pruebas que sugieran que nos hayamos visto afectados o implicados en este asunto”.
Se hizo un seguimiento facilitando el nombre del empleado ucraniano cuyo equipo fue supuestamente comprometido, así como el usuario y la contraseña con los que ingresaba a la cuenta en Snowflake de Ticketmaster, pero la vocera no respondió a ninguna pregunta adicional.
Es posible que los integrantes de ShinyHunter no hackearan directamente al trabajador de EPAM, y simplemente accedieran a las cuentas de Snowflake mediante nombres de usuario y contraseñas que obtuvieron de antiguos repositorios de credenciales robadas por info-stealers. Pero, como señala Reddington, esto significa que cualquier otra persona puede buscar en tales registros éstas y otras credenciales sustraídas de cuentas de EPAM. Reddington comenta que encontraron datos en internet que fueron aprovechados por nueve info-stealers diferentes para recopilar información de las máquinas de los trabajadores de EPAM. Esto plantea preocupaciones potenciales sobre la seguridad de los datos pertenecientes a otros clientes de esta empresa.
EPAM tiene clientes en varios sectores críticos, como bancos y otros servicios financieros, atención médica, canales de transmisión, farmacéutica, energía y otros servicios públicos, seguros y software y alta tecnología; entre estos últimos figuran Microsoft, Google, Adobe y Amazon Web Services. Sin embargo, no está claro si alguna de estas compañías dispone de cuentas en Snowflake a las que tengan acceso los trabajadores de EPAM. Tampoco ha podido confirmar si Ticketmaster, Santander, Lending Tree o Advance AutoParts son clientes de EPAM.
La campaña Snowflake también destaca los crecientes riesgos de seguridad de las empresas de terceros en general y de los info-stealers. En la entrada de su blog de esta semana, Mandiant sugería que se había vulnerado la seguridad de varios contratistas para acceder a las cuentas de Snowflake, señalando que los proveedores, a menudo conocidos como compañías de subcontratación de procesos empresariales (BPO, por sus siglas en inglés), son una mina de oro potencial, porque comprometer la máquina de un contratista que tiene acceso a las cuentas de varios clientes puede permitirles entrar directamente en muchas de ellas.
Fuentes:
No hay comentarios:
Publicar un comentario