„Arkana“ saugumo turto prievartavimo gauja savaitgalį trumpai išvardijo tai, kas, atrodo, buvo naujai pavogti „Ticketmaster“ duomenys, tačiau vietoj to yra pavogti duomenys, pavogti per 2024 m. „Snowflake Data“ vagysčių išpuolius.
„Extame“ grupė paskelbė tariamai pavogtų duomenų ekrano kopijas, reklamuodama daugiau nei 569 GB parduodamų „Ticketmaster“ duomenų, sukeldami spėliones, kad tai buvo naujas pažeidimas.
Šaltinis: „BleepingComputer“
Tačiau „Bleepingcomputer“ nustatė, kad „Arkana Post“ „Ticketmaster“ duomenų pavyzdžiai, kuriuos anksčiau matėme per 2024 m.
Be to, viename iš vaizdų buvo antraštė „Rapefled Copy 4 Quick Sale 1 Pirkėjas“, tai yra nuoroda į įrankį, pavadintą „Rapeflake“.
„Rapeflake“ yra pritaikytas įrankis, kurį sukuria grėsmės veikėjai, kad būtų galima atlikti žvalgybą ir eksfiltrato duomenis iš „Snowflake“ duomenų bazių.
Kaip pranešta anksčiau, snaigių atakos buvo skirtos daugeliui organizacijų, įskaitant „Santander“, „Ticketmaster“, „AT&T“, „Advance Auto Parts“, Neiman Marcus, Los Andželo vieningą, gryną saugyklą ir bendrąsias. Šiuos išpuolius tvirtino turto prievartavimo grupė, žinoma kaip „Shinyhunters“.
Šios atakos buvo vykdomos naudojant pažeistus snaigių kredencialus, pavogtus infostealers, kurie vėliau buvo naudojami atsisiųsti įmonės duomenis, skirtus naudoti turto prievartavimo schemose.
„Ticketmaster“ buvo viena iš labiausiai išspaustų „Snowflake“ atakos aukų, dėl kurių buvo padaryta asmeninės ir bilietų pardavimo vagystė. Kai duomenys buvo pasiūlyti parduoti internetu, bendrovė patvirtino pažeidimą gegužės pabaigoje ir pradėjo pranešti paveiktus klientus.
Po pirminio nutekėjimo grėsmės aktoriai padidino bandymus dėl turto prievartavimo, išleisdami tai, kas, jų teigimu, buvo spausdinimo ir namų bilietai ir netgi įtariami Taylor Swift bilietai į įsilaužimo forumo įrašus.
Nors Arkana nenurodė duomenų kilmės, snaigių nuorodų naudojimas ir anksčiau nutekėję failai atitinkantys failų pavadinimus rodo, kad grupė bandė perparduoti senus pavogtus duomenis.
Ar „Arkana“ anksčiau įsigijo šiuos duomenis, ar grupę sudaro grėsmės veikėjai, kurie anksčiau turėjo duomenis, ar jie bendradarbiauja su „ShinyHunters“, kad galėtų jį parduoti, neaišku.
Birželio 9 d. „Ticketmaster“ duomenų įrašas buvo pašalintas iš „Arkana Security“ duomenų nutekėjimo svetainės.
Vardas „ShinyHunters“ per daugelį metų buvo susietas su daugybe pažeidimų, įskaitant didžiulį „PowerSchool“ duomenų pažeidimą, kai 62,4 milijono studentų ir 9,5 milijono mokytojų buvo pavogti duomenys 6 505 mokyklų rajonams visoje JAV, Kanadoje ir kitose šalyse.
Visai neseniai „Mandiant“ susiejo „Shinyhunters“ su naujausia kampanija, skirta „Salesforce“ sąskaitose, kai grėsmės veikėjai pažeidė sąskaitas, kad pavogtų klientų duomenis ir išspaustų įmones.
Kadangi per pastaruosius trejus metus (1, 2, 3) buvo areštuoti daugybė grėsmės aktorių, susieti su „Shinyhunters“ (1, 2, 3), neaišku, ar tai yra originali grupė ar kiti grėsmės veikėjai, teigiantys, kad jie išmeta teisėsaugą.
„Bleepingcomputer“ susisiekė su „Arkana“ ir „Ticketmaster“ dėl sąrašo, tačiau negavo atsakymo.
Pataisymas reiškė sudėtingus scenarijus, ilgas valandas ir nesibaigiančius gaisro grąžtus. Nebe.
Šiame naujame vadove „Tines“ suskaido, kaip modernūs IT orgai yra lygūs automatizavimui. Greičiau pataisykite, sumažinkite pridėtines išlaidas ir sutelkite dėmesį į strateginį darbą – nereikia jokių sudėtingų scenarijų.
