La société de cybersécurité Cylance a confirmé la légitimité des données vendues sur un forum de piratage, déclarant qu’il s’agissait d’anciennes données volées sur une « plate-forme tierce ». »

Un acteur de la menace connu sous le nom de Sp1d3r vend ces données volées pour 750 000$, comme l’a repéré pour la première fois un informateur du Dark Web.

Les données comprendraient une quantité substantielle d’informations, telles que 34 000 000 courriels de clients et d’employés et des informations personnellement identifiables appartenant aux clients, partenaires et employés de Cylance.

Cependant, des chercheurs ont déclaré à Breachtrace que les échantillons divulgués semblaient être d’anciennes données marketing utilisées par Cylance.

BlackBerry Cylance a déclaré à Breachtrace qu’ils étaient au courant et enquêtaient sur les allégations de l’auteur de la menace, mais qu’aucune  » données et systèmes BlackBerry liés à [..] des clients, des produits et des opérations ont été compromis. »

« Sur la base de nos examens initiaux des données en question, aucun client actuel de Cylance n’est affecté et aucune information sensible n’est impliquée », a ajouté la société.

« Les données en question ont été consultées à partir d’une plate-forme tierce non liée à BlackBerry et semblent dater de 2015 à 2018, avant l’acquisition par BlackBerry du portefeuille de produits Cylance. »

Cylance data à vendre

Liens vers les attaques de flocons de neige
Bien que l’entreprise n’ait pas encore répondu à une demande de suivi pour plus de détails concernant le nom de la plate-forme tierce qui a été piratée pour voler ce qu’elle prétend être d’anciennes données, le même acteur de la menace vend également 3 To de données du fournisseur de pièces de rechange automobiles Advance Auto Parts, volées après avoir violé le compte Snowflake de l’entreprise.

Breachtrace a confirmé que Cylance est un client Snowflake, avec la console de gestion Web située à https://cylance.snowflakecomputing.com/.

Des violations récentes à Santander, Ticketmaster et QuoteWizard / Lendingtree ont également été liées à des attaques de flocons de neige. La société mère de Ticketmaster, Live Nation, a également confirmé qu’une violation de données avait affecté l’entreprise de billetterie après que son compte Snowflake ait été compromis le 20 mai.

Dans un avis conjoint avec CrowdStrike et Mandiant, Snowflake a déclaré que les attaquants avaient utilisé des informations d’identification volées de clients pour cibler des comptes sans protection d’authentification multifacteur.

Aujourd’hui, Mandiant a publié un rapport liant les attaques de Snowflake à un acteur menaçant motivé financièrement qu’il suit sous le nom de UNC5537. L’acteur a eu accès aux comptes clients de Snowflake en utilisant des informations d’identification de client volées dans des infections de logiciels malveillants infostealer dès 2020.

Mandiant suit l’UNC5537 depuis mai 2024. L’acteur de la menace motivé financièrement a ciblé des centaines d’organisations dans le monde entier, extorquant des victimes pour un gain financier.

Chronologie de l’attaque du flocon de neige UNC5537

Liens vers les attaques de flocons de neige
Bien que l’entreprise n’ait pas encore répondu à une demande de suivi pour plus de détails concernant le nom de la plate-forme tierce qui a été piratée pour voler ce qu’elle prétend être d’anciennes données, le même acteur de la menace vend également 3 To de données du fournisseur de pièces de rechange automobiles Advance Auto Parts, volées après avoir violé le compte Snowflake de l’entreprise.

Breachtrace a confirmé que Cylance est un client Snowflake, avec la console de gestion Web située à https://cylance.snowflakecomputing.com/.

Des violations récentes à Santander, Ticketmaster et QuoteWizard / Lendingtree ont également été liées à des attaques de flocons de neige. La société mère de Ticketmaster, Live Nation, a également confirmé qu’une violation de données avait affecté l’entreprise de billetterie après que son compte Snowflake ait été compromis le 20 mai.

Dans un avis conjoint avec CrowdStrike et Mandiant, Snowflake a déclaré que les attaquants avaient utilisé des informations d’identification volées de clients pour cibler des comptes sans protection d’authentification multifacteur.

Aujourd’hui, Mandiant a publié un rapport liant les attaques de Snowflake à un acteur menaçant motivé financièrement qu’il suit sous le nom de UNC5537. L’acteur a eu accès aux comptes clients de Snowflake en utilisant des informations d’identification de client volées dans des infections de logiciels malveillants infostealer dès 2020.

Mandiant suit l’UNC5537 depuis mai 2024. L’acteur de la menace motivé financièrement a ciblé des centaines d’organisations dans le monde entier, extorquant des victimes pour un gain financier.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *