超过 150 家公司参与了对云巨头 Snowflake 的入侵。 Mandiant 研究人员发现,一个团伙正在利用被盗的凭证来策划进一步的信息盗窃和勒索金钱。我们对违规情况进行评估。
上周,我们透露专门从事云存储的公司 Snowflake 已被大量数据泄露的受害者。据该公司称,网络犯罪分子成功窃取凭证部分客户使用信息窃取者类型的恶意软件。这些病毒部署在员工计算机上,窃取了大量的身份信息。很快就找到了数据违规论坛,一个在网络犯罪分子中非常流行的平台。
这一披露引发了人们的担忧,即 Snowflake 客户很快就会发现自己成为黑客的攻击目标。此外,Snowflake 的云服务客户之一 TicketMaster 也是入侵的受害者。袭击者带着来自超过5亿用户的数据。不久之后,也在 Snowflake 云上存储数据的西班牙桑坦德银行也记录了一次信息盗窃事件,紧随其后的是 QuoteWizard。 Lending Tree 子公司表示,Snowflake 警告其敏感数据泄露。
已有 165 名受害者
正如安全专家所担心的那样,事情不太可能就此结束。据谷歌旗下网络安全公司 Mandiant 的研究人员称,直到165 雪花客户受到违规行为的影响。
“迄今为止,Mandiant 和 Snowflake 已通知大约 165 个可能暴露的组织。 Snowflake 客户支持已直接联系这些客户,以确保他们的帐户和数据的安全”曼迪安特详细介绍说,这表明在不久的将来可能会发现其他受害者。
所有公司的 Snowflake 帐户最近都受到病毒的侵害,这些病毒长期隐藏在计算机中。涉及的恶意软件包括 Vidar、Risepro、Redline、Raccoon Stealer、Lumma 和 MetaStealer 等知名恶意软件。其中一些病毒早在 2020 年就已部署在计算机上。在某些情况下,软件多年来一直隐藏在计算机上。
正如 Mandiant 所指出的,该恶意软件“受感染的非雪花系统”。显然,美国社会的基础设施并没有受到安全漏洞的影响。 Mandiant 的调查证实,这些信息确实是通过 Snowflake 客户员工使用的受损计算机恢复的。
“如果受到信息窃取者恶意软件的破坏,单个承包商的笔记本电脑可以为多个组织的攻击者提供轻松访问”Mandiant 解释道,他强调所有相关公司之间的相互联系。
黑客利用这些数据侵入了 Snowflake 租用的服务器,导致“导出大量客户数据”。攻击的最后阶段于 2024 年 4 月下旬开始。
谁是网络攻击的幕后黑手?
此次行动是由一群网络犯罪分子,Mandiant 引用的代号为“UNC5537”。不出所料,该团伙的成员主要分布在北美,其目的是牟利。这就是为什么被盗数据被用来进行敲诈勒索活动并在犯罪论坛上转售的原因。 Mandiant 还注意到该团伙“针对全球数百个组织”。
Mandiant 发现的三项疏忽
Mandiant 表示,网络犯罪分子的一些疏忽使得他们达到了目的。正如 Snowflake 所宣布的那样,受感染的帐户不受双因素身份验证的保护。因此,输入标识符就足以访问客户的帐户。
此外,研究人员遗憾的是,身份信息“仍然有效”,在他们飞行多年后。不过,专家建议定期更改您的密码以防止黑客攻击。这个好习惯有助于防止基于旧数据的攻击。
最后,受影响的 Snowflake 服务器没有受到保护权限列表关于地点。这些列表仅授权访问位于特定位置的计算机。这种预防措施也可能为海盗设置障碍。在这种情况下,黑客能够毫无障碍地连接到服务器。
来源 : 曼迪安特
