AT&T reveló hoy que los datos de «casi todos» sus clientes desde el 1 de mayo de 2022 hasta el 31 de octubre de 2022 y el 2 de enero de 2023 fueron exfiltrados a una plataforma de terceros en abril de 2024. Los clientes cuyos datos fueron expuestos serán informados. AT&T dijo que el punto de acceso a través del cual se llevó a cabo el ciberataque ha sido asegurado y los datos ya no están disponibles. El actor de amenazas accedió a números de teléfono y duraciones de llamadas Según AT&T, el actor de amenazas accedió a registros de llamadas telefónicas y mensajes de texto, incluidos los números de teléfono con los que interactuaron los clientes y, en algunos casos, los números de identificación del sitio celular. La filtración incluyó tanto a clientes de teléfonos celulares como de teléfonos fijos. Los atacantes pudieron ver «recuentos de esas llamadas o mensajes de texto y la duración total de las llamadas para días o meses específicos», dijo AT&T en un aviso a los clientes, pero no el contenido de esas llamadas o mensajes de texto. Tampoco se incluyó información de identificación personal como números de Seguro Social o fechas de nacimiento. Sin embargo, la compañía señaló que los actores de amenazas pueden usar números de teléfono para encontrar los nombres de las personas que los usan. AT&T detectó el ataque en abril AT&T se dio cuenta del ataque por primera vez el 19 de abril después de que «un actor de amenazas afirmó» haber accedido a los datos, según la presentación de AT&T ante la SEC sobre el incidente. VER: El 4 de julio, un ciberataque separado comprometió casi diez mil millones de contraseñas de cuentas en línea. Según The Verge, el actor de amenazas accedió a los datos a través de Snowflake, la plataforma de almacenamiento de datos que también se utilizó en un ciberataque en junio. Una persona ha sido detenida por las fuerzas del orden en relación con el ciberataque, dijo AT&T en el aviso. Cobertura de seguridad de lectura obligada AT&T reveló la violación a la SEC utilizando el relativamente nuevo Formulario 8-K. Implementado en diciembre de 2023, la SEC requiere que las organizaciones que cotizan en bolsa que experimentan un incidente cibernético informen el incidente utilizando este formulario si es un incidente «material». Como parte de esa divulgación, AT&T predijo que no era «razonablemente probable que el ciberataque de abril afectara materialmente la condición financiera o los resultados de las operaciones de AT&T». El 31 de mayo de 2024, AT&T reveló que las contraseñas pertenecientes a 7,6 millones de clientes habían sido comprometidas en una fuga de datos. Los dos ataques no parecen estar relacionados. Cómo comprobar manualmente si sus datos se vieron afectados Los clientes de AT&T que gestionan cuentas empresariales pueden comprobar si sus datos se vieron afectados en myAT&T o en el portal del plan empresarial Premier. Todos los clientes, incluidas las cuentas empresariales y los antiguos clientes, pueden ver exactamente qué información se expuso sobre su número de teléfono a través de una variedad de opciones que AT&T presenta en su página de soporte. Lo que los líderes empresariales pueden aprender del hackeo de AT&T Una gran infracción como esta es un buen recordatorio para que las empresas sean conscientes de los riesgos para sus proveedores externos y cadenas de suministro. Los líderes empresariales también deben considerar herramientas de seguridad como la detección y respuesta de puntos finales o la gestión de eventos e información de seguridad y tener un plan de recuperación y respaldo en caso de que sus datos sean robados. TechRepublic se ha comunicado con AT&T para obtener más información.
Etiqueta: copo de nieve
Un nuevo informe de Mandiant, parte de Google Cloud, revela que un actor de amenazas con motivación financiera llamado UNC5537 recopiló y exfiltró datos de alrededor de 165 instancias de clientes de Snowflake de organizaciones. Snowflake es una plataforma de datos en la nube que se utiliza para almacenar y analizar grandes volúmenes de datos. El actor de amenazas logró acceder a estos datos activando credenciales que previamente fueron robadas por malware de robo de información o compradas a otros ciberdelincuentes. Según Mandiant, el actor de amenazas UNC5537 anuncia la venta de datos de las víctimas en foros de ciberdelincuencia e intenta extorsionar a muchas de las víctimas. Cuando se venden los datos, cualquier ciberdelincuente podría comprar esta información con diferentes fines como ciberespionaje, inteligencia competitiva o fraude más orientado a las finanzas. ¿Cómo fueron atacados algunos usuarios de Snowflake por este robo de datos y extorsión? Una declaración conjunta proporcionada por Snowflake, Mandiant y la empresa de ciberseguridad CrowdStrike indica que no hay evidencia que sugiera que la actividad fraudulenta pueda ser causada por una vulnerabilidad, una mala configuración o una violación de la plataforma de Snowflake. Tampoco hay evidencia de que la actividad haya sido causada por credenciales comprometidas de empleados actuales o anteriores de Snowflake. En cambio, la evidencia muestra que los atacantes obtuvieron credenciales de múltiples campañas de malware de robo de información que infectaron sistemas que no eran propiedad de Snowflake. Luego, el actor de amenazas obtuvo acceso a las cuentas afectadas, lo que permitió la filtración de un volumen significativo de datos de clientes de las respectivas instancias de clientes de Snowflake. Diagrama de ruta de ataque. Imagen: Mandiant Los investigadores de Mandiant afirmaron que la mayoría de las credenciales utilizadas por UNC5537 estaban disponibles en malware de robo de información histórico; Algunas de esas credenciales se remontan a noviembre de 2020, pero aún eran utilizables. Diferentes familias de malware de robo de información fueron responsables del robo de credenciales; las más utilizadas fueron Vidar, Risepro, Redline, Racoon Stealer, Lumma y Metastealer. Según Mandiant y Snowflake, al menos el 79,7% de las cuentas aprovechadas por el actor de amenazas tenían exposición previa de credenciales. Mandiant también informó que el ataque inicial del malware de robo de información se produjo en sistemas de contratistas que también se utilizaban para actividades personales, incluidos juegos y descargas de software pirateado, que es un fuerte vector para la propagación de robos de información. ¿Cómo obtuvo UNC5537 las credenciales robadas? Como se informó, el actor de amenazas obtuvo credenciales de una variedad de malware de robo de información, pero UNC5537 también aprovechó las credenciales que se compraron previamente. Si bien Mandiant no proporciona información adicional, es razonable pensar que esas credenciales fueron compradas en uno o varios mercados clandestinos cibercriminales directamente a los llamados corredores de acceso inicial, que son una categoría de cibercriminales que venden acceso corporativo robado a otros estafadores. Como escribe Mandiant en su informe, “la economía clandestina del robo de información también es extremadamente sólida, y existen grandes listas de credenciales robadas tanto de forma gratuita como para comprar dentro y fuera de la web oscura”. Mandiant también informó que, en 2023, el 10% de las intrusiones totales comenzaron con credenciales robadas, lo que representa el cuarto vector de intrusión inicial más notable. Cobertura de seguridad de lectura obligada ¿Cuáles fueron los métodos iniciales de acceso y filtración de datos en este ataque de Snowflake? En esta campaña de ataque, el acceso inicial a las instancias de los clientes de Snowflake a menudo se produjo a través de la interfaz de usuario nativa accesible desde la web (Snowflake SnowSight) o desde la herramienta de interfaz de línea de comandos proporcionada por Snowflake (SnowSQL). Se ha utilizado una herramienta adicional denominada “rapeflake” y rastreada en FROSTBITE por Mandiant para realizar reconocimiento contra instancias de Snowflake. FROSTBITE existe en al menos dos versiones: una que usa .NET para interactuar con el controlador Snowflake .NET y una versión que usa Java para interactuar con el controlador Snowflake JDBC. La herramienta permite a los atacantes realizar actividades SQL, como enumerar usuarios, roles actuales, direcciones IP actuales, ID de sesión y nombres de organizaciones. El actor de amenazas también ha utilizado una herramienta pública para administrar bases de datos, DBeaver Ultimate, para ejecutar consultas en las instancias de Snowflake. Utilizando consultas SQL, el actor de amenazas pudo extraer información de las bases de datos. Una vez que se encontraron datos interesantes, se comprimieron como GZIP usando el comando «COPIAR EN» para reducir el tamaño de los datos a extraer. El atacante utilizó principalmente los servicios VPN Mullvad y Private Internet Access para acceder a las instancias Snowflake de las víctimas. También se utilizó un proveedor moldavo de VPS, ALEXHOST SRL, para la filtración de datos. El atacante almacenó los datos de las víctimas en varios proveedores VPS internacionales, así como en el proveedor de almacenamiento en la nube MEGA. ¿Qué organizaciones están en riesgo? La campaña de ataque parece ser una campaña dirigida a usuarios de Snowflake con autenticación de un solo factor. Todos los usuarios con autenticación multifactor están a salvo de esta campaña de ataque y no fueron el objetivo. Además, las instancias de clientes de Snowflake afectadas no tenían listas permitidas para permitir solo conexiones desde ubicaciones confiables. Consejos de Snowflake sobre cómo proteger su empresa de esta amenaza de ciberseguridad Snowflake publicó información sobre cómo detectar y prevenir el acceso de usuarios no autorizados. La compañía proporcionó una lista de casi 300 direcciones IP sospechosas utilizadas por el actor de amenazas y compartió una consulta para identificar el acceso desde las direcciones IP sospechosas. La empresa también proporcionó una consulta para identificar el uso de las herramientas “rapeflake” y “DBeaver Ultimate”. Cualquier cuenta de usuario que devuelva resultados de esas consultas debe desactivarse inmediatamente. Snowflake recomienda encarecidamente reforzar la seguridad: aplicar MFA a los usuarios. Configure políticas de red a nivel de cuenta y de usuario para cuentas de servicios/usuarios con altas credenciales. Revise los parámetros de la cuenta para restringir la exportación de datos desde las cuentas Snowflake. Supervise las cuentas de Snowflake para detectar cambios de configuración o escalada de privilegios no autorizados e investigue cualquiera de esos eventos. Además, se recomienda encarecidamente tener todo el software y los sistemas operativos actualizados y parcheados para evitar verse comprometidos por una vulnerabilidad común, que podría provocar una fuga de credenciales. Es necesario implementar soluciones de seguridad en todos los terminales para evitar la infección por robo de información. También se recomienda crear conciencia sobre la seguridad informática y capacitar al personal para detectar y reportar eventos sospechosos de ciberseguridad. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.