Un hacker explica cómo irrumpieron en los sistemas del Santander y Ticketmaster: un PC infectado en Ucrania fue la clave
Publicado el 24/06/2024 por Diario Tecnología Artículo original
Hace unas semanas descubrimos que tanto el Banco Santander como Ticketmaster sufrieron una brecha de datos masiva, provocando que se filtren millones de datos sensibles de usuarios. Posteriormente, los datos se encontraron a la venta en la Dark Web, un suceso cada vez más común que vulnera en gran medida la privacidad y la seguridad de los usuarios en la red.
Recientemente, desde el medio Wired, pudieron contactar con uno de los ciberatacantes del grupo ShinyHunters, grupo hacker que se proclamó autor de ambos ciberataques. El hacker explica cómo irrumpieron en los sistemas del banco Santander y Ticketmaster a través de un servicio en la nube con acceso a sus sistemas.
Millones de datos filtrados y a la venta en Internet por un ordenador en Ucrania
El grupo de ciberdelincuentes se hizo con terabytes de datos de Ticketmaster y de otros clientes de la empresa de almacenamiento en la nube Snowflake. Según comentan en el medio, unas 165 cuentas se vieron potencialmente afectadas en la reciente brecha de seguridad dirigida a los clientes de Snowflake, lo que provocó posteriormente que pudiesen acceder a los sistemas de Ticketmaster.
Entre estos clientes, Ticketmaster y el propio Banco Santander reconocieron que sus cuentas de Snowflake habían sido atacadas. Estos datos incluían detalles bancarios de unos 30 millones de usuarios de clientes situados en España, Chile y Uruguay. Entre ellos se consiguieron seis millones de números de cuenta y saldos, 28 millones de números de tarjetas de crédito e información de recursos humanos sobre el personal, tal y como detalla el medio.
Si bien Snowflake no detalló cómo accedieron los hackers a las cuentas, sí afirmaron que no se introdujeron directamente en la red. Sin embargo, según la firma de seguridad Mandiant, propiedad de Google, declararon en un informe de seguridad que, en muchos casos, los hackers tuvieron acceso a Snowflake a través de contratistas externos, sin identificar a los proveedores.
Uno de los hackers que contactó con el medio Wired aseguró que uno de esos contratistas era EPAM Systems, una empresa dedicada a la ingeniería de software y servicios digitales que cotiza en bolsa y fue fundada por el bielorruso Arkadiy Dobkin. Tiene sede en múltiples países, incluida España y cuenta con unos ingresos actuales de unos 4.800 millones de dólares, según el medio.
Según el integrante del grupo hacker, se valieron de los datos encontrados en el sistema de empleados de EPAM para acceder a algunas de las cuentas de Snowflake, lo que provocó que, posteriormente, pudiesen irrumpir en los sistemas del banco Santander y Ticketmaster para extraer información de sus bases de datos.
Para acceder a los sistemas de EPAM, el hacker desveló que un ordenador perteneciente a uno de los empleados de la empresa en Ucrania fue infectado con un malware info-stealer, destinado a robar credenciales. A través de un ataque de spear-pishing (un engaño a través de un correo sumamente elaborado), consiguieron acceder así a la información. Lo que no está claro es cómo dieron con ese ordenador, y entre las posibilidades se encuentran una violación inicial o bien compraron el acceso al sistema mediante un tercero que se encargase de infectar el ordenador.
A pesar de la declaración del hacker, EPAM comunicó a Wired que no creen que hayan desempeñado ningún papel en las filtraciones, sugiriendo que el hacker podría haberse inventado la historia. ShinyHunters lleva en activo desde 2020 y desde entonces han sido responsables de múltiples brechas de seguridad en empresas tan importantes como Microsoft, AT&T, Wattpad y otras tantas.
Live Nation, la empresa matriz de Ticketmaster, admitió el robo de información de su cuenta de Snowflake en mayo. Si bien el hacker no identificó todas las victimas afectadas por el ataque, sí confirmó que Ticketmaster era una de ellas. Además, Brad Jones, director de Sistemas de Información de Snowflake, reconoció a través de Medium que la falta de autenticación multifactor (MFA) en las credenciales guardadas en una herramienta de gestión de proyectos del ordenador infectado, habría permitido la infiltración.
Imagen de portada | FlyD
24_Jun_2024"> Antonio Vallejo .