Santander Bank i Ticketmaster to dwa podmioty, które były ofiarami cyberataków wiosną 2024 roku. Jednak potężne wycieki danych to dopiero początek kampanii.
Wycieki z Santander Banku, Ticketmastera i QuoteWizard umożliwiły dalsze kradzieże danych. Przestępcy przystąpili do ataków na konta w chmurze Snowflake, gdzie można między innymi przetwarzać duże zbiory danych i trenować modele sztucznej inteligencji. Specjaliści z Mandiant zidentyfikowali już 165 zagrożonych podmiotów.
Zobacz: Wyciekły dane klientów Santander Bank. Co z Polską?
Zobacz: Atak na giganta branży rozrywkowej. Wyciekły dane klientów (aktualizacja)
Przestępcy włamują się na konta klientów dostawcy usług chmurowych Snowflake. Specjaliści zaobserwowali już setki skutecznych włamań i kradzież ogromnych ilości danych. Proceder trwa prawdopodobnie od kwietnia 2024. Wiele wskazuje na to, że złodzieje używają do tego danych z wiosennych wycieków. Ponadto włamywacze korzystają z malware znanego jako Infostealer i danych sięgających nawet 2020 roku. Ofiarami są konta, na których ponownie zostały użyte hasła obecne w wyciekach i nie zostało uruchomione logowanie dwuetapowe.
Przy tym nie ma żadnych śladów naruszenia bezpieczeństwa wewnętrznej infrastruktury Snowflake. Dostawca przekonuje, że jego zabezpieczenia nie zawiniły. Wspomniany malware nie był też instalowany na systemach działających w chmurze Snowflake.
Kto stoi za włamaniami? Analitycy pracujący dla Snowflake nazwali tę grupę UNC5537. Motywacją są z pewnością pieniądze. Wykradzione informacje mogą być wykorzystywane do szantażowania ofiar lub trafić na czarny rynek. Przestępcy działają systematycznie i widać, że ta akcja została dobrze zorganizowana.
Lista ofiar będzie rosła. Po Snowflake może przyjść pora na konta na innych platformach.
Źródło zdjęć: Dragos Asaftei / Shutterstock, Mandiant
Źródło tekstu: Mandiant
