Gestión de riesgos de terceros, delitos cibernéticos, gestión de fraudes y delitos cibernéticos Más víctimas de la campaña contra la plataforma de almacenamiento de datos Snowflake salen a la luz Mathew J. Schwartz (euroinfosec) •25 de junio de 2024 Atención, compradores de Neiman Marcus: su información de contacto puede estar a la venta en un foro criminal . (Imagen: Shutterstock) El minorista de grandes almacenes de lujo Neiman Marcus Group es la última organización en informar una violación de datos debido a que atacantes accedieron a su cuenta en el proveedor de plataforma de almacenamiento de datos basado en la nube Snowflake. Ver también: Seminario web | Resumen del año de ciberseguridad de OT 2023: lecciones aprendidas desde primera línea En una notificación de violación de datos, Neiman Marcus Group, de propiedad privada, dijo que está notificando a casi 65.000 compradores que un atacante robó su «información personal». Neiman Marcus Group, con sede en Dallas, comprende 36 tiendas Neiman Marcus, dos tiendas Bergdorf Goodman y cinco tiendas outlet Last Call, además de sitios en línea. «Neiman Marcus Group se enteró recientemente de que una parte no autorizada obtuvo acceso a una plataforma de base de datos en la nube utilizada por NMG y proporcionada por un tercero, Snowflake», dijo un portavoz de la empresa Neiman Marcus Group a Information Security Media Group. La compañía dijo que la violación comenzó el 14 de abril y se hizo evidente el 24 de mayo. Durante ese período, el atacante robó datos como el nombre de los clientes, detalles de contacto, fecha de nacimiento y números de tarjetas de regalo, aunque sin los códigos PIN necesarios para canjearlos. La compañía dijo que las tarjetas de regalo siguen siendo válidas. «Inmediatamente después de descubrir el incidente, NMG tomó medidas para contenerlo, incluso deshabilitando el acceso a la plataforma», dijo el portavoz, y agregó que la compañía contrató asesores externos de ciberseguridad para ayudar con su investigación. NMG es propiedad desde 2021 de un grupo de empresas de inversión: Pacific Investment Management, también conocida como PIMCO; Socios de la Sexta Calle; y Davidson Kempner Capital Management. A finales de 2023, NMG abandonó una oferta de fusión de 3.000 millones de dólares del minorista de lujo rival Saks Fifth Avenue, informó The Wall Street Journal. Esta no es la primera violación de datos que sufre Neiman Marcus. En mayo de 2020, el minorista notificó a 4,6 millones de clientes en línea que los piratas informáticos robaron nombres de usuario, contraseñas, preguntas de seguridad y datos de tarjetas de pago. Víctimas de la infracción de Snowflake La infracción de las cuentas de Snowflake parece haber afectado a unas 165 cuentas de clientes. Si bien la mayoría aún no ha sido nombrada públicamente, otras víctimas conocidas incluyen Ticketmaster de Live Nation Entertainment, el Banco Santander, el proveedor de repuestos para automóviles Advance Auto Parts y el Distrito Escolar Unificado de Los Ángeles (ver: Las víctimas de la violación de datos de Snowflake reciben demandas de rescate). Los primeros informes públicos de cuentas de Snowflake violadas llegaron el 30 de mayo, después de que los datos de Ticketmaster aparecieran a la venta en el sitio web criminal BreachForums. Snowflake, en una declaración conjunta con CrowdStrike y Mandiant, dijo que los atacantes utilizaron pares de nombre de usuario y contraseña robados para violar las cuentas de Snowflake para las cuales los administradores no habían habilitado la autenticación multifactor. «Como parte de esta campaña, los actores de amenazas han aprovechado las credenciales previamente compradas u obtenidas a través de malware de robo de información», dijeron (ver: Alerta: los ladrones de información apuntan a las credenciales de navegador almacenadas). La declaración conjunta dice que los atacantes solo violaron las cuentas de Snowflake que los titulares de cuentas no estaban protegiendo con autenticación multifactor, que Snowflake solo ofrecía a través de una versión de Cisco Duo que autogestionaba. Posteriormente, Snowflake introdujo más formas para que las organizaciones permitan a sus usuarios acceder a las capacidades de MFA y dijo que planea permitir que los administradores hagan que MFA sea obligatorio. Mandiant dijo que ha estado rastreando al grupo criminal involucrado en los ataques dirigidos a Snowflake, que tiene el nombre en clave UNC5537, desde que detectó la campaña por primera vez en abril. La empresa informó recientemente que UNC5537 ha estado «utilizando datos de clientes robados para extorsionar a las víctimas y, al mismo tiempo, intentando vender los datos en foros de ciberdelincuentes». Datos robados anunciados para la venta Horas después de que Neiman Marcus revelara públicamente la violación, un usuario en el sitio de filtración de datos BreachForums con el identificador “Sp1d3r” puso a la venta los datos del minorista. Sp1d3r dijo que su intento de extorsionar al minorista para que pagara un rescate a cambio de la promesa de filtrar los datos había fracasado. El anuncio de BreachForums de Sp1d3r contiene inconsistencias. Más allá de afirmar que los datos robados incluyen los últimos cuatro dígitos de los números de Seguro Social de los clientes, el anuncio dice que los datos exfiltrados pertenecen a 180 millones de usuarios, incluidos detalles de «70 millones de transacciones» (ver: Grupos de ransomware: Confíe en nosotros. Uh, no .). El anuncio también menciona «rapeflake», rastreado como «Frostbite» por Mandiant, una utilidad maliciosa que los atacantes utilizaron para obtener acceso inicial a al menos algunas de las cuentas de Snowflake violadas. La utilidad apunta a SnowSight, que puede apuntar a la interfaz de usuario basada en web de Snowflake y a la herramienta de interfaz de línea de comandos SnowSQL. Sp1d3r ha estado vendiendo datos robados de múltiples víctimas de Snowflake, incluidas Advance Auto Parts y Ticketmaster. Afirmó a Bleeping Computer que al menos algunas de las víctimas de Snowflake de su grupo pagaron un rescate. No está claro si Sp1d3r anuncia los datos robados porque alguien podría comprarlos o para intentar presionar a las víctimas pasadas, presentes y futuras para que paguen un rescate. Otra víctima de la campaña Snowflake es el Distrito Escolar Unificado de Los Ángeles. El 6 de junio, después de que aparecieran a la venta datos robados del LAUSD, el distrito advirtió que un atacante había robado “datos de estudiantes y empleados”. Después de que Sp1d3r el 18 de junio comenzara a poner a la venta la información, incluidos los nombres de los estudiantes, direcciones, calificaciones y otros detalles, LAUSD le dijo a Bleeping Computer que la información fue robada de su cuenta Snowflake. Posteriormente, Sp1d3r ofreció los datos robados para su descarga gratuita. URL de la publicación original: https://www.databreachtoday.com/luxury-retailer-neiman-marcus-suffers-snowflake-breach-a-25609