บริษัทมากกว่า 150 แห่งมีส่วนร่วมในการบุกรุกที่โจมตี Snowflake ยักษ์ใหญ่ด้านคลาวด์ นักวิจัยของ Mandiant ค้นพบว่าแก๊งค์กำลังใช้ข้อมูลประจำตัวที่ถูกขโมยเพื่อจัดการขโมยข้อมูลเพิ่มเติมและรีดไถเงิน เราคำนึงถึงการละเมิด
เมื่อสัปดาห์ที่แล้ว เราได้เปิดเผยว่า Snowflake ซึ่งเป็นบริษัทที่เชี่ยวชาญด้านพื้นที่จัดเก็บข้อมูลบนคลาวด์ได้ดำเนินการแล้วเหยื่อของข้อมูลขนาดใหญ่รั่วไหล- ตามที่บริษัทระบุ อาชญากรไซเบอร์สามารถจัดการได้ขโมยข้อมูลรับรองของลูกค้าส่วนหนึ่งที่ใช้มัลแวร์ประเภท infostealer เมื่อติดตั้งบนคอมพิวเตอร์ของพนักงาน ไวรัสเหล่านี้ได้กรองข้อมูลระบุตัวตนจำนวนมาก พบข้อมูลอย่างรวดเร็วเมื่อฟอรั่มการละเมิดซึ่งเป็นแพลตฟอร์มยอดนิยมในหมู่อาชญากรไซเบอร์
การเปิดเผยนี้ทำให้เกิดความกลัวว่าลูกค้าของ Snowflake จะพบว่าตัวเองตกเป็นเป้าของแฮ็กเกอร์อย่างรวดเร็ว นอกจากนี้ TicketMaster ซึ่งเป็นหนึ่งในลูกค้าที่ให้บริการระบบคลาวด์ของ Snowflake ยังตกเป็นเหยื่อของการบุกรุก ผู้โจมตีก็บินหนีไปด้วยข้อมูลจากผู้ใช้มากกว่า 500 ล้านคน- หลังจากนั้นไม่นาน ธนาคาร Santander ของสเปน ซึ่งจัดเก็บข้อมูลบนคลาวด์ Snowflake ก็ได้บันทึกการโจรกรรมข้อมูลเช่นกัน ตามมาด้วย QuoteWizard บริษัทในเครือ Lending Tree ระบุว่า Snowflake เตือนถึงการรั่วไหลของข้อมูลที่ละเอียดอ่อน
อ่านเพิ่มเติม:บัญชี 361 ล้านบัญชีถูกแฮ็ก – พบข้อมูลรั่วไหลจำนวนมาก
มีเหยื่อ 165 รายตลอดเวลา
ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยกังวล เรื่องนี้ไม่น่าจะจบเพียงแค่นั้น ตามที่นักวิจัยจาก Mandiant บริษัทรักษาความปลอดภัยทางไซเบอร์ของ Google จนกระทั่ง165 ลูกค้าของ Snowflakeได้รับผลกระทบจากการละเมิด
“จนถึงปัจจุบัน Mandiant และ Snowflake ได้แจ้งองค์กรที่อาจได้รับผลกระทบแล้วประมาณ 165 แห่ง ฝ่ายสนับสนุนลูกค้า Snowflake ได้ติดต่อลูกค้าเหล่านี้โดยตรงเพื่อความปลอดภัยของบัญชีและข้อมูลของพวกเขา”ให้รายละเอียด Mandiant โดยบอกว่าเหยื่อรายอื่นอาจถูกค้นพบได้ในอนาคตอันใกล้นี้
บัญชี Snowflake ของบริษัททั้งหมดเพิ่งถูกโจมตีจากไวรัส ซึ่งซ่อนอยู่ในคอมพิวเตอร์เป็นเวลานาน ในบรรดามัลแวร์ที่เกี่ยวข้องนั้นมีชื่อที่รู้จักกันดีเช่น Vidar, Risepro, Redline, Raccoon Stealer, Lumma และ MetaStealer ไวรัสบางตัวถูกนำไปใช้งานตั้งแต่ต้นปี 2020 บนเครื่อง ในบางกรณี ซอฟต์แวร์ยังคงซ่อนอยู่ในคอมพิวเตอร์เป็นเวลาหลายปี
ตามที่ Mandiant ระบุ มัลแวร์ตัวนี้“ระบบที่ไม่ใช่เกล็ดหิมะที่ติดเชื้อ”- เห็นได้ชัดว่าโครงสร้างพื้นฐานของสังคมอเมริกันไม่ได้รับผลกระทบจากการละเมิดความปลอดภัย ข้อมูลดังกล่าวได้รับการกู้คืนจริง ๆ จากการประนีประนอมกับคอมพิวเตอร์ที่พนักงานของลูกค้า Snowflake ใช้ การสืบสวนของ Mandiant ยืนยัน
“หากถูกโจมตีโดยมัลแวร์ infostealer แล็ปท็อปของผู้รับเหมารายเดียวสามารถให้ผู้โจมตีจากหลายองค์กรเข้าถึงได้ง่าย”Mandiant อธิบาย โดยเน้นย้ำถึงความเชื่อมโยงระหว่างบริษัททั้งหมดที่เกี่ยวข้อง
จากข้อมูลดังกล่าว แฮกเกอร์สามารถเจาะเซิร์ฟเวอร์ที่ Snowflake เช่าได้ ซึ่งนำไปสู่“การส่งออกข้อมูลลูกค้าจำนวนมาก”- การโจมตีครั้งสุดท้ายนี้เริ่มต้นเมื่อปลายเดือนเมษายน พ.ศ. 2567
ใครอยู่เบื้องหลังการโจมตีทางไซเบอร์?
ดำเนินงานโดยอาชญากรไซเบอร์กลุ่มเดียวอ้างอิงภายใต้ชื่อรหัส “UNC5537” โดย Mandiant ไม่น่าแปลกใจเลยที่แก๊งค์นี้ซึ่งมีสมาชิกส่วนใหญ่อยู่ในอเมริกาเหนือพยายามหากำไร นี่คือสาเหตุที่ข้อมูลที่ถูกขโมยถูกนำมาใช้เพื่อดำเนินการขู่กรรโชกและขายต่อในฟอรัมอาชญากรรม แมนเดียนท์ยังสังเกตเห็นว่าแก๊งค์“กำหนดเป้าหมายองค์กรหลายร้อยแห่งทั่วโลก”-
ความประมาทเลินเล่อสามประการที่ระบุโดย Mandiant
จากข้อมูลของ Mandiant ความประมาทเลินเล่อหลายประการทำให้อาชญากรไซเบอร์บรรลุเป้าหมายได้ ตามที่ Snowflake ประกาศ บัญชีที่ถูกบุกรุกไม่ได้รับการปกป้องโดยการตรวจสอบสิทธิ์แบบสองปัจจัย ดังนั้นจึงเพียงพอที่จะป้อนตัวระบุเพื่อเข้าถึงบัญชีของลูกค้า
นอกจากนี้ผู้วิจัยยังเสียใจที่ข้อมูลระบุตัวตน“ยังใช้ได้อยู่”หลายปีหลังจากเที่ยวบินของพวกเขา อย่างไรก็ตามผู้เชี่ยวชาญแนะนำเปลี่ยนรหัสผ่านของคุณเป็นประจำเพื่อป้องกันแฮกเกอร์ นิสัยที่ดีนี้จะช่วยป้องกันการโจมตีจากข้อมูลเก่า
ในที่สุด เซิร์ฟเวอร์ Snowflake ที่ได้รับผลกระทบก็ไม่ได้รับการปกป้องรายการอนุญาตเกี่ยวกับสถานที่ รายการเหล่านี้อนุญาตเฉพาะการเข้าถึงคอมพิวเตอร์ที่อยู่ในสถานที่ที่ระบุเท่านั้น ข้อควรระวังนี้อาจทำให้เกิดอุปสรรคขัดขวางเส้นทางของโจรสลัดได้ ในกรณีนี้แฮกเกอร์สามารถเชื่อมต่อกับเซิร์ฟเวอร์ได้โดยไม่มีอุปสรรคแม้แต่น้อย
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : แมนเดียนท์
