En un importante incidente de ciberseguridad, el grupo de actores de amenazas conocido como ShinyHunters se atribuyó la responsabilidad de una violación de datos que involucra al Banco Santander, supuestamente vendiendo datos de 30 millones de clientes. Esta violación, revelada dos semanas después de que se detectara el acceso no autorizado, se ha relacionado con ataques recientes a cuentas de Snowflake, que también implicaron a Ticketmaster.
SHINYHUNTERS DENUNCIA INCUMPLIMIENTO DE SANTANDER
El 31 de mayo de 2024, ShinyHunters anunció que estaban vendiendo una enorme cantidad de datos supuestamente robados del Banco Santander, incluida información personal de 30 millones de clientes y empleados. Según se informa, los datos también contienen 28 millones de números de tarjetas de crédito y 6 millones de números de cuentas. Este reclamo se produjo poco después de que el banco más grande de España, Santander, informara sobre una violación de datos que afectaba a clientes en Chile, España y Uruguay.
Santander confirmó el acceso no autorizado a una base de datos alojada por un proveedor externo, lo que afectó a empleados y clientes en las regiones especificadas. Sin embargo, señalaron que los datos de otros mercados y negocios no se vieron afectados.
El grupo de hackers ShinyHunters, conocido por vender y filtrar datos de numerosas empresas, afirmó tener acceso a los datos robados. La infracción se identificó por primera vez cuando Dark Web Informer notó que los datos estaban a la venta por 2 millones de dólares. ShinyHunters compartió muestras de los datos, que incluían datos personales pero que no se pudo verificar de inmediato como pertenecientes a Santander.
HACKEOS DE CUENTAS DE SNOWFLAKE VINCULADOS A UNA INFRACCIÓN
El mismo día, la empresa de ciberseguridad Hudson Rock informó que las recientes filtraciones en Santander y Ticketmaster se debieron supuestamente a hackeos de cuentas de Snowflake. El actor de amenazas afirmó que accedió a los datos pirateando la cuenta de un empleado de Snowflake y eludiendo el proceso de autenticación segura de Okta.
Snowflake, una plataforma de datos en la nube utilizada por numerosas empresas de alto perfil, cuestionó estas afirmaciones y afirmó que las recientes infracciones fueron causadas por cuentas de clientes mal protegidas, no por la explotación de ninguna vulnerabilidad dentro de su producto. Confirmaron un aumento en los ataques dirigidos a cuentas de clientes e instaron a todos los usuarios a habilitar la autenticación multifactor (MFA).
El informe de Hudson Rock sugirió que el actor de amenazas podría exfiltrar datos de potencialmente cientos de empresas que utilizan los servicios de Snowflake. Pasaron por alto las medidas de seguridad al iniciar sesión en la cuenta ServiceNow de un empleado de Snowflake utilizando credenciales robadas y generando tokens de sesión para acceder a los datos del cliente. Este método les permitió impactar potencialmente a 400 empresas, según afirma el actor de amenazas.
Snowflake reconoció un aumento en la actividad de amenazas a partir de mediados de abril de 2024 y confirmó que algunas cuentas de clientes se vieron comprometidas antes del 23 de mayo de 2024. Emitieron un boletín de seguridad aconsejando a los clientes que implementaran la autenticación multifactor y proporcionando indicadores de compromiso (IoC) y consultas de investigación. para ayudar a proteger sus cuentas.
BREACHFORUMS Y VENTA DE DATOS
El grupo ShinyHunters es conocido por su participación en varias violaciones de datos de alto perfil, incluida la reciente supuesta violación de Ticketmaster que afectó a 560 millones de personas. Los datos robados de Santander aparecieron inicialmente en el foro de piratería Exploit de habla rusa antes de aparecer en los recientemente restaurados BreachForums, operados por ShinyHunters.
IMPLICACIONES Y RESPUESTA MÁS AMPLIAS
Estos incidentes subrayan la vulnerabilidad de los sistemas basados en la nube y la importancia de medidas sólidas de ciberseguridad. Las filtraciones afectaron no sólo a Santander y Ticketmaster, sino que también tuvieron implicaciones más amplias para las empresas que utilizan los servicios de almacenamiento en la nube de Snowflake.
Los expertos advirtieron sobre la posibilidad de ataques similares a otras soluciones SaaS y enfatizaron la necesidad de autenticación multifactor y restricciones basadas en IP para salvaguardar los datos empresariales. La capacidad de los actores de amenazas para crear herramientas personalizadas como ‘RapeFlake’ para extraer datos pone de relieve las tácticas en evolución utilizadas por los ciberdelincuentes.
IMPLICACIONES Y RECOMENDACIONES
Esta doble infracción que involucra a Santander y Ticketmaster, vinculados a través de los servicios de almacenamiento en la nube de Snowflake, pone de relieve la creciente sofisticación y escala de los ciberataques. Las empresas deben mejorar sus medidas de ciberseguridad, incluida la habilitación de la autenticación multifactor, para proteger los datos confidenciales.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.