Группировка ShinyHunters заявила о краже нескольких массивов данных у Panera Bread, но это лишь верхушка айсберга. Вымогатели также утверждают, что похитили данные у CarMax и Edmunds, вдобавок к трем другим организациям, о которых они сообщили в своем блоге на прошлой неделе.
Утверждения злоумышленников, с которыми ознакомилось издание The Register и которые также были опубликованы на Daily Dark Web, гласят, что они украли более 14 миллионов записей у сети пекарен-кафе Panera Bread, включая имена, адреса электронной почты и домашние адреса, номера телефонов и данные учетных записей общим объемом 760 МБ в сжатом виде. Предположительно, они похитили аналогичные типы персонально идентифицируемой информации (PII) с платформы по покупке подержанных автомобилей CarMax (более 500 000 записей общим объемом 1,7 ГБ в сжатом виде) и сайта с обзорами автомобилей Edmunds («миллионы» записей общим объемом 12 ГБ в сжатом виде).
Ни одна из трех компаний не ответила немедленно на запросы The Register.
ShinyHunters сообщила нам, что получила доступ к Panera через код единого входа (SSO) Microsoft Entra, в то время как взломы CarMax и Edmunds произошли в результате более ранних, не связанных между собой вторжений.
Scattered Lapsus$ Hunters, имеющая связи с ShinyHunters, опубликовала данные CarMax на своем ныне неработающем сайте утечек осенью и тогда заявляла, что это было частью десятков скомпрометированных сред Salesforce.
На прошлой неделе Okta предупреждала о том, что киберпреступники похищают коды SSO Okta, Microsoft и Google в новой волне кампаний по голосовому фишингу. Представитель Microsoft сообщил The Register, что Redmond «в настоящее время не может ничего сообщить». А представитель Google заявил: «На данный момент у нас нет никаких оснований полагать, что сама Google или ее продукты затронуты этой кампанией».
«Новая, продолжающаяся кампания»
Новые предполагаемые жертвы утечек данных присоединяются к заявленным вторжениям ShinyHunters, о которых сообщалось на прошлой неделе: Crunchbase, SoundCloud и Betterment. Согласно пятничному сообщению в блоге преступной группировки, эти три предыдущие операции по краже файлов принесли злоумышленникам в общей сложности более 50 миллионов записей. ShinyHunters сообщила The Register, что получила доступ к двум из трех — Crunchbase и Betterment — путем голосового фишинга кодов единого входа Okta.
Это сочетание звонков с использованием социальной инженерии и фишинговых комплектов в реальном времени. Злоумышленник обычно выдает себя за сотрудника ИТ-поддержки, чтобы обманом заставить сотрудников ввести свои учетные данные на поддельном веб-сайте, имитирующем настоящую страницу входа Okta, что позволяет злоумышленнику украсть пароли и обойти многофакторную аутентификацию (MFA) пользователей в реальном времени.
Хотя ни Crunchbase, ни Betterment не ответили на запросы The Register о комментариях, ранее в этом месяце Betterment сообщила, что «неавторизованное лицо» получило доступ к «определенным системам Betterment с помощью социальной инженерии» 9 января.
«Несанкционированный доступ включал сторонние программные платформы, которые Betterment использует для поддержки нашего маркетинга и операций», — сообщила финтех-компания в обновлении безопасности от 12 января. «После получения доступа неавторизованное лицо смогло отправить мошенническое сообщение, связанное с криптовалютой, которое выглядело так, будто оно исходит от Betterment, определенной части наших клиентов».
Соучредитель и технический директор Hudson Rock Алон Гал на прошлой неделе заявил, что загрузил утечку Crunchbase, и она содержала PII, подписанные контракты и другие корпоративные данные.
В понедельник аналитики угроз Silent Push заявили, что последняя кампания ShinyHunters по краже учетных данных была нацелена примерно на 100 организаций, и исследователи также опубликовали список компаний, в отношении которых они «обнаружили активное нацеливание или подготовку инфраструктуры в отношении вашего домена» за последние 30 дней.
«У нас нет информации для предоставления по поводу каких-либо конкретных атак, и мы не можем подтвердить, были ли они успешными», — сообщил старший исследователь угроз Silent Push Зак Эдвардс The Register в понедельник. «Мы считаем, что организации, которые мы указали в нашем публичном блоге, подверглись атаке».
Также в понедельник технический директор Mandiant Consulting Чарльз Кармакал сообщил The Register, что следователи по угрозам, принадлежащие Google, отслеживают «новую, продолжающуюся кампанию под брендом ShinyHunters», которая использует методы голосового фишинга для кражи учетных данных SSO. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
