Cylance confirma violación de datos vinculada a una plataforma de "terceros"

Iniciado por AXCESS, Junio 11, 2024, 12:48:23 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La empresa de ciberseguridad Cylance confirmó la legitimidad de los datos vendidos en un foro de piratería, afirmando que se trata de datos antiguos robados de una "plataforma de terceros".

Un actor de amenazas conocido como Sp1d3r está vendiendo estos datos robados por 750.000 dólares, como se descubrió por primera vez  por Dark Web Informer.

Los datos supuestamente incluyen una cantidad sustancial de información, como 34.000.000 de correos electrónicos de clientes y empleados e información de identificación personal perteneciente a clientes, socios y empleados de Cylance.

Sin embargo, los investigadores le dijeron a BleepingComputer que las muestras filtradas parecen ser datos de marketing antiguos utilizados por Cylance.

BlackBerry Cylance le dijo a BleepingComputer que conocen e investigan las afirmaciones del actor de amenazas, pero que "ningún dato o sistema de BlackBerry relacionado con [...] clientes, productos y operaciones se ha visto comprometido".

"Según nuestras revisiones iniciales de los datos en cuestión, ningún cliente actual de Cylance se ve afectado y no se trata de información confidencial", añadió la compañía.

"Se accedió a los datos en cuestión desde una plataforma de terceros no relacionada con BlackBerry y parece ser del período 2015-2018, anterior a la adquisición de la cartera de productos Cylance por parte de BlackBerry".

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Links a los ataques de Snowflake

Si bien la compañía aún no ha respondido a una solicitud de seguimiento para obtener más detalles sobre el nombre de la plataforma de terceros que fue violada para robar lo que afirma ser datos antiguos, el mismo actor de amenazas también está vendiendo 3 TB de datos del proveedor de repuestos de automóviles de posventa Advance Auto Parts, robado después de violar la cuenta Snowflake de la compañía.

BleepingComputer confirmó que Cylance es cliente de Snowflake, con la consola de administración web ubicada en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Las recientes infracciones en Santander, Ticketmaster y QuoteWizard/Lendingtree también se han relacionado con los ataques de Snowflake. La empresa matriz de Ticketmaster, Live Nation, también confirmó que una violación de datos había afectado a la empresa de venta de entradas después de que su cuenta Snowflake se viera comprometida el 20 de mayo.

En un aviso conjunto con CrowdStrike y Mandiant, Snowflake dijo que los atacantes habían utilizado credenciales de clientes robadas para atacar cuentas sin protección de autenticación multifactor.

Hoy, Mandiant publicó un informe que vincula los ataques de Snowflake con un actor de amenazas con motivación financiera al que rastrea como UNC5537. El actor obtuvo acceso a las cuentas de los clientes de Snowflake utilizando credenciales de clientes robadas en infecciones de malware de robo de información que se remontan a 2020.

Mandiant ha estado rastreando el UNC5537 desde mayo de 2024. El actor de amenazas con motivación financiera se ha dirigido a cientos de organizaciones en todo el mundo, extorsionando a las víctimas para obtener ganancias financieras.

Si bien Mandiant no ha compartido mucha información sobre UNC5537, BleepingComputer se enteró de que son parte de una comunidad más grande de actores de amenazas que frecuentan los mismos sitios web, Telegram y servidores de Discord, donde comúnmente colaboran en ataques.

"Las cuentas afectadas no estaban configuradas con la autenticación multifactor habilitada, lo que significa que la autenticación exitosa sólo requería un nombre de usuario y contraseña válidos", dijo Mandiant.

"Las credenciales identificadas en la salida del malware de robo de información aún eran válidas, en algunos casos años después de que fueron robadas, y no habían sido rotadas ni actualizadas. Las instancias de clientes de Snowflake afectadas no tenían listas de red permitidas para permitir el acceso solo desde ubicaciones confiables".

Mandiant dice que ha identificado cientos de credenciales de clientes de Snowflake expuestas en ataques de malware de robo de información Vidar, RisePro, Redline, Racoon Stealer, Lumm y Metastealer desde al menos 2020.

Hasta la fecha, Snowflake y Mandiant han notificado a alrededor de 165 organizaciones potencialmente expuestas a estos ataques en curso.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta