Für einen der größten Datenschutzverstöße des Jahres waren weder fortschrittliche Taktiken, Techniken und Verfahren (TTPs) noch eine eskalierende Kette erfolgreicher Angriffe erforderlich. Dazu war es lediglich erforderlich, Zugangsdaten im Darknet zu kaufen und diese zu verwenden, um sich anzumelden und Daten zu stehlen. Dies zeigt einmal mehr, wie wichtig MFA und ein sorgfältiger Umgang mit Passwörtern sind.

Die Bedrohungsakteure konnten sich über ihre Snowflake-Instanzen Zugang zu mindestens 165 Organisationen verschaffen, indem sie kompromittierte Anmeldedaten verwendeten, die sie mit Infostealer-Malware von infizierten Geräten erhalten hatten. Bei Snowflake, einem amerikanischen Unternehmen für Cloud-basierte Datenspeicherung, wurde kein Sicherheitsverstoß festgestellt. Vielmehr nutzten die Bedrohungsakteure die kompromittierten Zugangsdaten, um sich einzeln bei den Snowflake-Instanzen der Unternehmen anzumelden, wodurch sie die Daten einer Vielzahl globaler Unternehmen einsehen und exfiltrieren konnten, darunter angeblich AT&T, Santander Bank und Live Nation/Ticketmaster.

Im November verhaftete die US-Regierung zwei Hacker, Connor Moucka und John Binns, wegen ihrer Beteiligung bei dem Verstoß und beschuldigte sie des Diebstahls der Anruf- und Textdaten von etwa 50 Milliarden Kunden eines großen Telekommunikationsunternehmens, das schließlich in mehreren Berichten als AT&T identifiziert wurde. Das Unternehmen hat die Behauptungen jedoch nicht bestätigt, sondern lediglich erklärt, dass „AT&T-Kundendaten illegal von unserem Arbeitsbereich auf einer Cloud-Plattform eines Drittanbieters heruntergeladen wurden“, ohne sich selbst direkt mit dem Snowflake-Verstoß in Verbindung zu bringen.

Moucka und Binns sind jedoch wahrscheinlich bei Weitem nicht die einzigen Cyberkriminellen, die bei dem Verstoß involviert waren. Ende Mai behauptete die berüchtigte Bedrohungsgruppe ShinyHunters, 560 Millionen Datensätze von Ticketmaster und 30 Millionen von Santander zu verkaufen, wobei die Ticketmaster-Daten Berichten zufolge sowohl persönliche Daten als auch Kreditkartendaten enthielten. Mehrere Unternehmen haben in den letzten Monaten seit Bekanntwerden des Datenschutzverstoßes Sammelklagen gegen Ticketmaster eingereicht.

Laut dem Arctic Wolf Labs 2024 Threat Report waren 47,3 % der von Arctic Wolf® Incident Response untersuchten Nicht-BEC-Vorfälle damit verbunden, dass sich ein Angreifer mit Zugangsdaten bei einer ungeschützten Anwendung angemeldet hat. Das bedeutet, dass fast die Hälfte aller Vorfälle mit einer angemessenen Passworthygiene und einem besseren Identitätsschutz hätten verhindert werden können. Zu diesen Maßnahmen gehören die Implementierung einer starken MFA, die proaktive Stärkung des Active Directory mithilfe von Tools wie PingCastle, um Schwachstellen in der Konfiguration sichtbar zu machen, die Bereitstellung von umfassenden Schulungen zum Sicherheitsbewusstsein und die Verwendung einer 24×7-Echtzeitüberwachung, wie beispielsweise durch eine Lösung für Managed Detection and Response.

• AT&T: https://www.att.com/support/article/my-account/000102979?source=EPcc000000000000U
• Wired: https://www.wired.com/story/snowflake-breach-advanced-auto-parts-lendingtree/
• DarkReading: https://www.darkreading.com/cyberattacks-data-breaches/leak-site-breachforums-springs-back-to-life-weeks-after-fbi-takedown
• TechCrunch: https://techcrunch.com/2024/11/12/snowflake-hackers-identified-and-charged-with-stealing-50-billion-att-records/
• SCWorld: https://www.scworld.com/brief/us-indicts-alleged-snowflake-hackers
• Google Cloud Blog: https://cloud.google.com/blog/topics/threat-intelligence/unc5537-snowflake-data-theft-extortion