La pandilla de extorsión de Arkana Security figuraba brevemente durante el fin de semana, que parecía ser datos de TicketMaster recién robados, pero son más bien los datos robados durante 2024 ataques de datos de nieve.
El grupo de extorsión Capturas de pantalla publicadas Entre los datos supuestamente robados, anuncie más de 569 GB de datos de Ticketmaster para la venta, lo que causa especulación de que fue una nueva violación.
Fuente: BleepingCompute
Sin embargo, BleepingComputter determinó que los archivos se muestran en las muestras de Arkana post-postserd de los datos de Ticketmaster que ya hemos visto durante los ataques de datos de nieve 2024.
Además, una de las imágenes tenía la leyenda “Copia Copyflaked 4 Bread Saleur 1 Comprador”, que es una referencia a una herramienta llamada “Rapeflake”.
Rapeflake es una herramienta personalizada creada por los actores de amenaza para llevar a cabo el reconocimiento y exfiltrar datos de bases de datos de copos de nieve.
Como se indicó anteriormente, los ataques de copo de nieve han atacado a muchas organizaciones, en particular Santander, Ticketmaster, AT&T, Advance Auto Parts, Neiman Marcus, Los Ángeles unificados, almacenamiento puro y cilance. Estos ataques fueron reclamados por un grupo de extorsión conocido como Shinyhuters.
Estos ataques se llevaron a cabo utilizando información de identificación de copo de nieve comprometido por los infositistas, que luego se utilizaron para descargar los datos de la compañía para su uso en diagramas de extorsión.
Ticketmaster fue una de las víctimas más ampliamente extorsionadas para atacar el copo de nieve, lo que condujo al robo de información personal y una taquilla. Una vez que se han ofrecido los datos para la venta en línea, la compañía confirmó la violación a fines de mayo y comenzó a informar a los clientes afectados.
Después del vuelo inicial, los actores de amenaza intensificaron sus intentos de extorsión al publicar lo que afirmaron que eran boletos impresos en casa e incluso boletos de Taylor Swift alegados en una serie de mensajes en un foro de piratería.
Aunque Arkana no ha especificado el origen de los datos, el uso de referencias de copo de nieve y los nombres de archivos correspondientes a los archivos divulgados previamente indican que el grupo intentó recibir datos robados antiguos.
Que Arkana compró anteriormente estos datos, que el grupo estaba compuesto por actores de amenaza que anteriormente habían tenido los datos, o si trabajan con Shinyhuters para venderlos no está claro.
El 9 de junio, la entrada de los datos de Ticketmaster se había eliminado del sitio de fuga de datos de seguridad de Arkana.
El nombre “Shinyhuters” se ha relacionado con una gran cantidad de violaciones a lo largo de los años, incluida la violación masiva de los datos de PowerSchool donde los datos han sido robados para 62.4 millones de estudiantes y 9.5 millones de maestros para 6.505 distritos escolares en los Estados Unidos, Canadá y otros países.
Más recientemente, Mandiant ha vinculado a ShinyHuanters con una campaña reciente dirigida a las cuentas de Salesforce, donde los actores de amenazas violaron las cuentas para robar clientes y extorsionar a las empresas.
Al igual que muchos actores de amenaza vinculados a los chulleurs brillantes, han sido arrestados en los últimos tres años [1, 2, 3]No está claro si es el grupo original u otros actores de amenaza los que afirman ser desconcertados de la policía.
BleepingCompute contactó a Arkana y Ticketmaster con respecto a la lista, pero no recibió una respuesta.
El correctivo significaba scripts complejos, largas horas y ejercicios interminables de fuego. No más.
En esta nueva guía, los dientes descomponen la forma en que las organizaciones modernas de TI están ganando energía con la automatización. Parche más rápido, reduzca los costos generales y se centre en el trabajo estratégico, no se requiere un guión complejo.