Hacker responsable de ataques masivos sigue activo y compromete infraestructura crítica

Un cibercriminal responsable de una campaña de cibercrimen que afectó a 165 empresas este verano sigue activo y ha irrumpido recientemente en un "puñado" de nuevas organizaciones, según un especialista en ciberseguridad de Google de Alphabet Inc.

Objetivo de empresas estadounidenses e infraestructura crítica

El atacante, que anteriormente robó datos de clientes de la empresa de análisis en la nube Snowflake Inc., ha atacado desde entonces a empresas estadounidenses y ha comprometido a organizaciones de infraestructura crítica con sede en Rusia y Bangladesh, según Austin Larsen, analista senior de amenazas de Google que ha estado investigando la campaña durante meses.

Las víctimas estadounidenses pertenecen a las industrias de la salud, la tecnología y las telecomunicaciones, dijo Larsen. El hecho de que un hacker tan prolífico haya evadido a las fuerzas del orden a pesar de alardear de los ataques ante periodistas e investigadores de seguridad en los últimos meses ejemplifica el desafío que el cibercrimen transfronterizo plantea a la aplicación de la ley, gracias a los servicios de comunicación anónimos y a un floreciente mercado criminal de credenciales robadas.

Extorsión y acceso a través de credenciales robadas

Un análisis de las interacciones en línea del hacker indicó que probablemente se trataba de un hombre de unos 20 años residente en Canadá que mostraba simpatías nazis, dijo Larsen. Se negó a identificar al hacker por su nombre o a decir si su identidad había sido transmitida a las fuerzas del orden.

El hacker compartió recientemente capturas de pantalla de registros robados a empresas de infraestructura crítica rusas y bangladesíes en Telegram, incluidos datos confidenciales de clientes, dijo Larsen. Algunas intrusiones están en curso, agregó.

El atacante obtuvo acceso a las organizaciones víctimas iniciando sesión en portales o servicios de acceso basados en Internet utilizando contraseñas robadas compradas en la dark web. El hacker, que según Larsen podría estar trabajando con otros, tiene una "gran cantidad de credenciales robadas" que ascienden al menos a cientos de miles de numerosas organizaciones de todo el mundo. Una vez dentro, podrían robar datos y extorsionar a las víctimas, advirtió Larsen.

"El actor sigue causando daño, comprometiendo empresas adicionales y extorsionando, en algunos casos."

Austin Larsen, analista senior de amenazas de Google

Ataques continuos y evasión de las fuerzas del orden

En junio y julio, empresas como AT&T Inc., Live Nation Entertainment Inc. y Advanced Auto Parts Inc. revelaron que se habían visto afectadas como parte de una campaña en la que un hacker robó datos personales de millones de personas. La campaña de cibercrimen se produjo después de que un hacker entrara en los sistemas mal configurados de Snowflake para acceder a datos sensibles.

El hacker ya no tiene como objetivo los datos relacionados con Snowflake, sino que explota herramientas de otro proveedor de software, que Larsen se negó a nombrar. Larsen presentó sus hallazgos el viernes en la conferencia cibernética LABScon en Arizona.

En junio, una persona que afirmaba ser el mismo hacker —y que utilizaba un seudónimo verificado por Larsen— dijo a Bloomberg News a través de un chat en línea que esperaba recibir 20 millones de dólares por el conjunto completo de datos de clientes de Snowflake. No hay pruebas de que nadie haya comprado el conjunto. En un momento dado, el hacker cometió un error al publicar un vídeo que revelaba cierta infraestructura técnica, que Mandiant, una unidad cibernética de Google Cloud, utilizó para ayudarle a identificarles, dijo Larsen.

Fuente: https://finance.yahoo.com/news/snowflake-hacker-still-active-finding-214527061.html