Los hackers que robaron terabytes de datos de Ticketmaster y otros clientes de la empresa de almacenamiento en la nube Snowflake aseguran que obtuvieron acceso a algunas de las cuentas vulnerando primero los sistemas de un proveedor de origen bielorruso que trabaja con esos usuarios.
Unas 165 cuentas se vieron potencialmente afectadas en la reciente campaña de hackeo dirigida a los clientes de Snowflake, pero hasta ahora solo se han identificado algunas de ellas. Además de Ticketmaster, las compañías Lending Tree y Advance Auto Parts comunicaron que también podrían ser víctimas.
El supuesto proceso de hackeo de Snowflake
Snowflake no ha revelado detalles sobre cómo accedieron los hackers a las cuentas, limitándose a decir que los intrusos no se introdujeron directamente en su red. Esta semana, la firma de seguridad Mandiant, propiedad de Google, una de las empresas contratadas por Snowflake para investigar las intrusiones, reveló en una publicación de blog que, en algunos casos, los hackers obtuvieron primero acceso a través de contratistas externos, sin identificar a los proveedores ni especificar de qué modo este recurso ayudó a los ciberdelincuentes a entrar en las cuentas de Snowflake.
Pero según uno de los hackers que habló con WIRED a través de una conversación de texto, una de esas empresas era EPAM Systems, dedicada a la ingeniería de software y servicios digitales y que cotiza en la bolsa, fundada por Arkadiy Dobkin, nacido en Bielorrusia, con unos ingresos actuales de unos 4,800 millones de dólares. El hacker asegura que su grupo, que se hace llamar ShinyHunters, se sirvió de los datos encontrados en un sistema de empleados de EPAM para acceder a algunas de las cuentas de Snowflake.
EPAM declaró a WIRED que no cree que haya desempeñado ningún papel en las filtraciones y sugirió que el hacker había inventado la historia. ShinyHunters existe desde 2020 y ha sido responsable de numerosas intrusiones desde entonces, consistentes en robar grandes cantidades de datos y difundirlos o venderlos en internet.
Snowflake es una empresa de almacenamiento y análisis de datos de gran tamaño que proporciona herramientas para que las compañías obtengan inteligencia y conocimientos a partir de la información de los clientes. EPAM desarrolla software y presta diversos servicios gestionados a clientes de todo el mundo, principalmente de Norteamérica, Europa, Asia y Australia, según su sitio web, y aproximadamente el 60% de sus ingresos proceden de Norteamérica. Entre los servicios que EPAM presta está la asistencia en el uso y la gestión de sus cuentas de Snowflake para almacenar y analizar su información. EPAM sostiene que cuenta con unos 300 trabajadores experimentados en el uso de las herramientas y servicios de análisis de datos de Snowflake, y anunció en 2022 que había alcanzado el estatus de “Socio de nivel de élite” con Snowflake y así aprovechar la plataforma de este último para sus usuarios.
El fundador de EPAM emigró de Bielorrusia a Estados Unidos en los noventa, antes de fundar su compañía en 1993 desde su departamento de Nueva Jersey. Casi dos tercios de los 55,000 empleados de EPAM residían en Ucrania, Bielorrusia y Rusia hasta que esta última invadió Ucrania, momento en el que la empresa manifiesta que cerró sus operaciones en Rusia y trasladó a algunos de sus trabajadores ucranianos a ubicaciones fuera de ese país.
El hacker que conversó con WIRED afirma que una computadora perteneciente a uno de los empleados de EPAM en Ucrania fue infectada con un malware info-stealer (destinado a robar credenciales) a través de un ataque de spear-phishing, una modalidad en la que, a través de un email sumamente personalizado para hacer más creíble el engaño, los ciberdelincuentes solicitan información sobre una organización a un objetivo específico dentro de ella.
No está claro si alguien de ShinyHunters llevó a cabo esta violación inicial o simplemente compró el acceso al sistema infectado a otra persona que hackeó al trabajador e instaló el info-stealer. El hacker indica que, una vez en el sistema del empleado de EPAM, instaló un troyano de acceso remoto que le permitió ingresar por completo a todo lo que había en el equipo del trabajador.
Mediante este acceso, cuenta, encontraron nombres de usuario y contraseñas sin cifrar que el trabajador utilizó para consultar y administrar las cuentas Snowflake de los clientes de EPAM, incluida una para Ticketmaster. El hacker sostiene que las credenciales estaban almacenadas en la máquina del empleado en una herramienta de gestión de proyectos llamada Jira. Los hackers lograron aprovechar esas credenciales, comparte, para entrar a las cuentas de Snowflake porque estas no requerían autenticación multifactor (MFA, por sus siglas en inglés). La MFA requiere que se introduzca un código temporal de un solo uso, además de un nombre de usuario y una contraseña, lo que hace que las cuentas con este tipo de autenticación sean más seguras.
Aunque EPAM niega estar implicada en la filtración, los hackers robaron datos de cuentas de Snowflake, incluida la de Ticketmaster, y han extorsionado a los propietarios de los mismos exigiéndoles miles de dólares, y en algunos casos más de un millón, para destruir la información o arriesgarse a que los ciberdelincuentes la vendan en otro lugar.
El hacker que habló con WIRED no identificó a todas las víctimas que fueron atacadas a través de EPAM, pero sí indicó que Ticketmaster era una de ellas. Esta última no respondió a la solicitud de comentarios de WIRED, pero su empresa matriz, Live Nation, admitió el robo de información de su cuenta Snowflake en mayo, sin revelar cuántos datos fueron sustraídos ni cómo accedieron los hackers. Sin embargo, en un post en el que se pusieron los datos a la venta, los ciberdelincuentes indicaron que se habían apoderado de los datos de 560 millones de consumidores de Ticketmaster.
El informante de ShinyHunters manifiesta que en algunos casos consiguieron acceder directamente a la cuenta Snowflake de los clientes de EPAM mediante los nombres de usuario y contraseñas en texto sin formato que encontraron en la computadora del empleado de EPAM. Pero en los casos en que las credenciales de Snowflake no estaban almacenadas en el sistema del trabajador, el hacker sostiene que examinaron las colecciones de credenciales antiguas robadas en violaciones anteriores por cibercriminales que recurrieron a malware info-stealer y hallaron otros nombres de usuario y contraseñas para cuentas de Snowflake, incluidas las obtenidas de la máquina del mismo trabajador de EPAM en Ucrania.
Info-stealers: malware protagonista en el hackeo de Ticketmaster
Las credenciales obtenidas por los info-stealers a menudo se publican en internet o se ponen a la venta en foros de hackers. Si las víctimas no modifican sus credenciales de acceso después de una intrusión, o no saben que sus datos fueron robados, estas permanecen activas y disponibles durante años. Es especialmente problemático si esas credenciales se usan en varias cuentas; los hackers logran identificar al usuario a través de la dirección de email que emplea como credencial de inicio de sesión, y si esa persona reutiliza la misma contraseña, los hackers pueden simplemente probar esas credenciales en varios sitios.
Los hackers de este caso aseguran que lograron valerse de las credenciales robadas por un info-stealer en 2020 para acceder a las cuentas de Snowflake.
WIRED no pudo confirmar de forma independiente que los hackers hayan entrado al equipo del empleado de EPAM o que utilizaran a la empresa para obtener los datos de Ticketmaster y de otras cuentas de Snowflake, pero el hacker nos proporcionó un archivo que parece ser una lista de credenciales del trabajador de EPAM extraídas de la base de datos Active Directory de la compañía después de que obtuvieran acceso a su computadora.
Además, en el post del blog escrito por Mandiant, que se publicó después de que el hacker informara a WIRED sobre el uso por parte de su grupo de datos recopilados por info-stealers, la firma de seguridad reveló que los ciberdelincuentes que vulneraron las cuentas de Snowflake se sirvieron de información antigua sustraída por esta clase de malware para acceder a algunas de las cuentas. Mandiant declaró que alrededor del 80% de las víctimas que identificó en la campaña Snowflake se vieron comprometidas mediante credenciales que previamente habían sido robadas y expuestas por info-stealers.
Y un investigador de seguridad independiente que ha estado ayudando a negociar las transacciones del rescate entre los hackers de ShinyHunter y las víctimas de la campaña Snowflake señaló a WIRED un repositorio online de datos obtenidos por un info-stealer que incluye información extraída de la computadora del empleado de EPAM en Ucrania que, según el hacker, se utilizó para acceder a las cuentas de Snowflake. Estos datos robados incluyen el historial de navegación del trabajador, que revela su nombre completo. También contienen una URL interna de EPAM que apunta a la cuenta en Snowflake de Ticketmaster, así como una versión en texto sin formato del nombre de usuario y la contraseña con los que el empleado de EPAM entraba en la cuenta.
“Esto significa que [un trabajador de EPAM] quien tenía acceso a [esa cuenta en] Snowflake poseía malware para robar contraseñas en su computadora, y su contraseña fue robada y vendida en la dark web”, destaca el investigador, quien pidió ser identificado únicamente como Reddington, una identidad que emplea en internet para comunicarse con los ciberdelincuentes. “Esto significa que cualquiera que conociera la URL correcta de Snowflake [para Ticketmaster] habría podido simplemente buscar la contraseña, iniciar sesión y robar la información”.
Cuando WIRED se puso en contacto con EPAM a principios de esta semana, una representante de la misma no parecía tener conocimiento de que su empresa hubiera desempeñado supuestamente un papel en el hackeo de las cuentas de Snowflake. “No hacemos comentarios sobre situaciones de las que no formamos parte”, escribió en un email, sugiriendo que la compañía no creía haberse involucrado de ninguna manera en la campaña. Cuando WIRED le proporcionó a la vocera detalles sobre cómo los ciberdelincuentes aseguran que obtuvieron acceso al sistema de un trabajador de EPAM en Ucrania, respondió: “Los hackers difunden con frecuencia información falsa para promover sus agendas. Mantenemos una política de no participar en la desinformación y defendemos sistemáticamente sólidas medidas de seguridad para proteger nuestras operaciones y a nuestros clientes. Continuamos nuestra exhaustiva investigación y, en este momento, no vemos pruebas que sugieran que nos hayamos visto afectados o implicados en este asunto”.
WIRED hizo un seguimiento facilitando el nombre del empleado ucraniano cuyo equipo fue supuestamente comprometido por los hackers, así como el usuario y la contraseña con los que ingresaba a la cuenta en Snowflake de Ticketmaster, pero la vocera no respondió a ninguna pregunta adicional.
Es posible que los integrantes de ShinyHunter no hackearan directamente al trabajador de EPAM, y simplemente accedieran a las cuentas de Snowflake mediante nombres de usuario y contraseñas que obtuvieron de antiguos repositorios de credenciales robadas por info-stealers. Pero, como señala Reddington, esto significa que cualquier otra persona puede buscar en tales registros éstas y otras credenciales sustraídas de cuentas de EPAM. Reddington comenta que encontraron datos en internet que fueron aprovechados por nueve info-stealers diferentes para recopilar información de las máquinas de los trabajadores de EPAM. Esto plantea preocupaciones potenciales sobre la seguridad de los datos pertenecientes a otros clientes de esta empresa.
EPAM tiene clientes en varios sectores críticos, como bancos y otros servicios financieros, atención médica, canales de transmisión, farmacéutica, energía y otros servicios públicos, seguros y software y alta tecnología; entre estos últimos figuran Microsoft, Google, Adobe y Amazon Web Services. Sin embargo, no está claro si alguna de estas compañías dispone de cuentas en Snowflake a las que tengan acceso los trabajadores de EPAM. WIRED tampoco ha podido confirmar si Ticketmaster, Lending Tree o Advance AutoParts son clientes de EPAM.
La campaña Snowflake también destaca los crecientes riesgos de seguridad de las empresas de terceros en general y de los info-stealers. En la entrada de su blog de esta semana, Mandiant sugería que se había vulnerado la seguridad de varios contratistas para acceder a las cuentas de Snowflake, señalando que los proveedores, a menudo conocidos como compañías de subcontratación de procesos empresariales (BPO, por sus siglas en inglés), son una mina de oro potencial para los hackers, porque comprometer la máquina de un contratista que tiene acceso a las cuentas de varios clientes puede permitirles entrar directamente en muchas de ellas.
“Los contratistas que los clientes emplean para ayudarles en el uso de Snowflake llegan a utilizar laptops personales o no supervisados que agravan este factor de entrada inicial”, escribió Mandiant en la publicación de su blog. “Estos dispositivos, a menudo empleados para acceder a los sistemas de múltiples organizaciones, presentan un riesgo significativo. Si se ve comprometida por el malware info-stealer, la computadora de un solo contratista puede facilitar el acceso del actor de la amenaza a través de múltiples entidades, a menudo con privilegios de administrador y [del departamento] de informática”.
La organización también subrayó el creciente riesgo de los info-stealers, observando que la mayoría de las credenciales que usaron los hackers en la campaña Snowflake procedían de repositorios de datos robados anteriormente por diversas campañas de esta clase de malware, algunas de las cuales se remontaban a 2020. “Mandiant identificó cientos de credenciales de clientes de Snowflake expuestas a través de info-stealers desde 2020”, señaló.
Esto, acompañado del hecho de que las cuentas de Snowflake objetivo no empleaban la MFA para protegerlas aún más, hizo posible las violaciones en esta campaña, resalta Mandiant.
Brad Jones, director de Sistemas de Información de Snowflake, reconoció la semana pasada en Medium que la falta de autenticación multifactor permitió las infiltraciones. Esta semana, en una llamada telefónica, Jones declaró a WIRED que Snowflake está trabajando para ofrecer a sus clientes la posibilidad de exigir a los usuarios de sus cuentas que empleen la MFA en el futuro “por defecto”, afirma.
Artículo publicado originalmente en WIRED. Adaptado por Andrei Osornio.
