Snowflake ha negato ogni responsabilità in merito al furto dei dati dei clienti di Ticketmaster e di altre 165 aziende, quindi si appresta a chiudere l’indagine. Rimangono però ignoti gli autori dell’attacco e dove sono state sottratte le credenziali per l’accesso agli account.
Data breach di EPAM Systems?
Mandiant, sussidiaria di Google incaricata da Snowflake per indagare sul furto dei dati, ha svelato che l’accesso al database di Snowflake è stato ottenuto con le credenziali degli account di alcuni “contractor”. Un membro del gruppo ShinyHunters (amministratore di BreachForums) ha comunicato a Wired che uno di essi è EPAM Systems.
Tra le attività dell’azienda statunitense c’è quella di assistenza ai clienti di Snowflake. Secondo ShinyHunters, le credenziali di accesso ad alcuni account sono state trovate sul computer di un dipendente di EPAM Systems e rubate con un infostealer installato sul dispositivo in seguito ad un attacco di spear phishing. L’azienda ha tuttavia negato ogni coinvolgimento.
Non è chiaro se l’attacco sia stato eseguito direttamente da ShinyHunters o se il gruppo ha solo acquistato l’accesso al sistema. Sul computer sono stati trovati username e password non cifrati che il dipendente usava per gestire gli account Snowflake, uno dei quali era di Ticketmaster. Il login è stato facilitato dall’assenza dell’autenticazione multi-fattore.
I cybercriminali hanno già iniziato a chiedere ad alcune aziende il pagamento di somme di denaro comprese tra 300.000 e 5 milioni di dollari. Mandiant non ha ancora identificato gli autori del furto (il nome provvisorio è UNC5537), ma potrebbero aver collaborato con il gruppo Scattered Spider.