Como resultado de um ataque de vírus projetado para roubar informações, os dados de cerca de 165 empresas – clientes do provedor de armazenamento em nuvem Snowflake – foram comprometidos.
Na sexta-feira passada, um porta-voz da QuoteWizard, uma subsidiária da plataforma de empréstimos online Lending Tree, disse que a QuoteWizard também foi afetada pelo incidente e foi notificada pela Snowflake. Uma porta-voz da própria Lending Tree disse que uma investigação está em andamento para determinar se os dados de propriedade da empresa foram roubados. Os especialistas em segurança cibernética Mandiant (de propriedade do Google), contratados pela Snowflake para investigar o enorme hack, disseram que até agora identificaram 165 clientes cujos dados podem ter sido roubados durante o incidente.
A Live Nation confirmou anteriormente que hackers roubaram dados da operadora de ingressos Ticketmaster – 560 milhões de registros de clientes, incluindo seus nomes completos, endereços, números de telefone e parcialmente números de cartão de crédito. O maior banco espanhol, o Santander, também confirmou o roubo de dados pertencentes a alguns dos seus clientes – estes dados foram colocados à venda pelos mesmos criminosos que vendem a base de dados da Ticketmaster. Especialistas em segurança cibernética da Hudson Rock relataram que as informações foram armazenadas nos recursos do Snowflake – o Santander não confirmou nem negou essas informações.
A Mandiant estabeleceu que todos os casos de acesso não autorizado aos dados ocorreram como resultado de roubo de credenciais por meio de malware. Nenhum dos hacks envolveu autenticação multifator. Os membros do grupo de hackers que se acredita ter cometido o hack estão localizados principalmente na América do Norte, e o grupo é rastreado sob o nome UNC5537. Em alguns casos, as credenciais usadas para acessar o armazenamento em nuvem datam de 2020, o que significa que não mudaram desde então. Não apenas a autenticação multifatorial não foi usada como medida de proteção, mas também o acesso com restrição geográfica ao fazer login no sistema Snowflake.
As credenciais foram roubadas usando os vírus Vidar, Risepro, Redline, Racoon Stealer, Lumma e MetaStealer. Em alguns casos, esses vírus acabavam em computadores usados tanto para trabalho quanto para fins pessoais – as máquinas continham jogos e softwares piratas. A Mandiant monitora a atividade do UNC5537 desde maio. Centenas de organizações em todo o mundo tornaram-se vítimas do grupo e, na maioria das vezes, os hackers buscam apenas ganhos materiais. UNC5537 é usado por vários endereços do Telegram. Além dos membros na América do Norte, o grupo tem um membro adicional na Turquia. Eles funcionam conectando-se via Mullvad ou Private Internet Access. No desenvolvimento das suas atividades, o grupo utilizou sistemas Alexhost VPS localizados na Moldávia. Os dados roubados foram armazenados em vários provedores de VPS e no provedor de armazenamento em nuvem Mega. Os especialistas especulam que o UNC5337 continuará a usar o mesmo padrão de intrusão ao atacar outras plataformas SaaS.