Siber güvenlik şirketi Cylance, bir bilgisayar korsanlığı forumunda satılan verilerin meşruiyetini doğruladı ve bunların “üçüncü taraf bir platformdan” çalınan eski veriler olduğunu belirtti.
İlk olarak Dark Web Informer tarafından tespit edildiği üzere, Sp1d3r olarak bilinen bir tehdit aktörü, çalınan bu verileri 750.000 dolara satıyor.
Verilerin, 34.000.000 müşteri ve çalışan e-postası ile Cylance müşterilerine, ortaklarına ve çalışanlarına ait kişisel olarak tanımlanabilir bilgiler gibi önemli miktarda bilgi içerdiği iddia ediliyor.
Ancak araştırmacılar BleepingComputer’a sızdırılan örneklerin Cylance tarafından kullanılan eski pazarlama verileri gibi göründüğünü söyledi.
BlackBerry Cylance, BleepingComputer’a, tehdit aktörünün iddialarından haberdar olduklarını ve bu iddiaları araştırdıklarını ancak bunlarla ilgili “BlackBerry veri ve sistemlerinin” bulunmadığını söyledi. [..] Müşteriler, ürünler ve operasyonlar tehlikeye girdi.”
Şirket, “Söz konusu verilere ilişkin ilk incelemelerimize göre, hiçbir mevcut Cylance müşterisi etkilenmedi ve hiçbir hassas bilgi söz konusu değil” diye ekledi.
“Söz konusu verilere BlackBerry ile ilgisi olmayan bir üçüncü taraf platformundan erişildi ve görünüşe göre 2015-2018 yılları arasında, BlackBerry’nin Cylance ürün portföyünü satın almasından öncesine ait.”
Snowflake saldırılarına bağlantılar
Şirket, eski veriler olduğunu iddia ettiği verileri çalmak için ihlal edilen üçüncü taraf platformun adıyla ilgili daha fazla ayrıntıya yönelik takip talebine henüz yanıt vermedi ancak aynı tehdit aktörü otomotive ait 3 TB’lık veriyi de satıyor Satış sonrası parça tedarikçisi Advance Auto Parts, şirketin Snowflake hesabına girildikten sonra çalındı.
BleepingComputer, https://cylance.snowflakecomputing.com/ adresinde bulunan web yönetim konsoluyla Cylance’in bir Snowflake müşterisi olduğunu doğruladı.
Santander, Ticketmaster ve QuoteWizard/Lendingtree’deki son ihlaller de Snowflake saldırılarıyla ilişkilendirildi. Ticketmaster’ın ana şirketi Live Nation da, 20 Mayıs’ta Snowflake hesabının ele geçirilmesinin ardından bilet firmasını bir veri ihlalinin etkilediğini doğruladı.
CrowdStrike ve Mandiant ile ortak bir danışma belgesinde Snowflake, saldırganların çalınan müşteri kimlik bilgilerini çok faktörlü kimlik doğrulama koruması olmayan hesapları hedeflemek için kullandığını söyledi.
Bugün Mandiant, Snowflake saldırılarını UNC5537 olarak takip ettiği mali motivasyonlu bir tehdit aktörüne bağlayan bir rapor yayınladı. Aktör, 2020 yılından bu yana bilgi hırsızlığı yapan kötü amaçlı yazılım bulaşmalarında çalınan müşteri kimlik bilgilerini kullanarak Snowflake müşteri hesaplarına erişim sağladı.
Mandiant, Mayıs 2024’ten bu yana UNC5537’yi takip ediyor. Mali motivasyona sahip tehdit aktörü, dünya çapında yüzlerce kuruluşu hedef alarak mağdurlardan mali kazanç elde etmeye çalıştı.
Mandiant, UNC5537 hakkında çok fazla bilgi paylaşmasa da BleepingComputer, onların aynı web sitelerini, Telegram ve Discord sunucularını sık sık ziyaret eden ve saldırılarda genellikle işbirliği yaptıkları daha büyük bir tehdit aktörleri topluluğunun parçası olduklarını öğrendi.
Mandiant, “Etkilenen hesaplar çok faktörlü kimlik doğrulama etkin olacak şekilde yapılandırılmadı, bu da başarılı kimlik doğrulamanın yalnızca geçerli bir kullanıcı adı ve şifre gerektirdiği anlamına geliyor” dedi.
“Bilgi hırsızı kötü amaçlı yazılım çıktısında tanımlanan kimlik bilgileri, bazı durumlarda çalındıktan yıllar sonra bile hâlâ geçerliydi ve değiştirilmedi veya güncellenmedi. Etkilenen Snowflake müşteri örneklerinde, yalnızca güvenilir konumlardan erişime izin verecek ağ izin listeleri yoktu.”
Mandiant, en az 2020’den beri Vidar, RisePro, Redline, Racoon Stealer, Lumm ve Metastealer bilgi hırsızlığı yapan kötü amaçlı yazılım saldırılarında açığa çıkan yüzlerce müşteri Snowflake kimlik bilgilerinin tespit edildiğini söylüyor.
Bugüne kadar Snowflake ve Mandiant, devam eden bu saldırılara maruz kalma potansiyeli olan yaklaşık 165 kuruluşa bildirimde bulundu.