Die vergangenen Wochen waren für Live Nation Entertainment, Inc. bereits eine Herausforderung, da das Unternehmen vom Justizministerium mit einer Klage wegen wettbewerbswidriger Praktiken konfrontiert wurde. Ende Mai wurde es noch schlimmer, als ein Cyberkrimineller namens „SpidermanData“ behauptete, eine riesige Datenbank mit 560 Millionen Datensätzen (einschließlich persönlicher und finanzieller Daten) von TicketMaster Entertainment, LLC – einem Unternehmen von Live Nation – infiltriert zu haben.
Das Threat Intelligence Team von Outpost24, KrakenLabs, hat die Situation analysiert und analysiert, welche Rolle kompromittierte Zugangsdaten bei diesem Angriff gespielt haben. Im Folgenden gehen wir auf die Vorfälle ein und geben Tipps, wie Sie ein ähnliches Schicksal für Ihre Organisation verhindern können.

Wie wurde das Datenleck entdeckt?

Am 27. Mai bot ein Nutzer mit dem Spitznamen „SpidermanData“ im Untergrundforum „Exploit“ eine Datenbank zum Verkauf an, die Daten von 560 Millionen Nutzern enthielt. Er behauptete, die Daten gehörten Live Nation und TicketMaster (beide Unternehmen gehören zu Live Nation Entertainment, Inc.). Der Benutzer hatte sich noch am selben Tag im Forum registriert und über diesen ursprünglichen Beitrag hinaus keine weiteren Aktivitäten gezeigt.
Am nächsten Tag, dem 28. Mai, postete ein bekannter Angreifer namens „ShinyHunters“ denselben Inhalt in dem Untergrundforum „BreachForums“. Dieses Forum war bereits am 15. Mai dieses Jahres von den Strafverfolgungsbehörden beschlagnahmt worden. Den Administratoren (darunter auch ShinyHunters) gelang es jedoch, das Forum am 28. Mai wieder online zu stellen – genau an dem Tag, an dem die Live Nation/TicketMaster-Datenbank zum Verkauf angeboten wurde [1] [2].

Wie haben sich die Angreifer Zugang verschafft?

Den Forschern von vx-underground ist es gelungen, mit Personen zu sprechen, die in den angeblichen Angriff involviert waren. Am 30. Mai veröffentlichten sie [3] folgende These: „Irgendwann im April war eine nicht identifizierte Angreifergruppe in der Lage, sich über einen Managed Service Provider (MSP) Zugang zu TicketMaster AWS-Instanzen zu verschaffen. Der TicketMaster- Angriff wurde nicht von der Gruppe ShinyHunters durchgeführt. ShinyHunters ist die Person und/oder Gruppe, die die Versteigerung der Daten eingestellt hat, sie agiert als Stellvertreter für die für die Kompromittierung verantwortliche Gruppe.“
Am 1. Juni erklärten dieselben Forscher, es sei bestätigt worden, dass es sich bei dem fraglichen MSP um Snowflake handele, ein amerikanisches Cloud-Computing-Unternehmen. Die Personen, die sich zu dem Angriff bekannten, behaupteten, sie hätten sich über einen Infostealer Zugang verschafft.
Am 31. Mai bestätigte das Sicherheitsunternehmen Hudson Rock, dass die Zugangsdaten eines Snowflake-Mitarbeiters über eine Lumma-Stealer-Kampagne gestohlen wurden. Die von der Firma bereitgestellten Informationen basierten auf einer Unterhaltung in Telegram mit dem mutmaßlichen Angreifer. Das Sicherheitsunternehmen White Intel bestätigte ebenfalls, dass das betroffene Konto kompromittiert wurde. Neben der Infiltration von TicketMaster beanspruchte der Angreifer auch die Verantwortung für andere kürzlich bekannt gewordene Datenschutzverletzungen: Santander Bank, Anheuser-Busch, State Farm, Mitsubishi, Progressive, Neiman Marcus, Allstate und Advance Auto Part.
Es ist anzumerken, dass beide Beiträge dieser Sicherheitsfirmen aufgrund von Unklarheiten [4] [5] nach den Aussagen von Snowflake über den Vorfall inzwischen entfernt wurden. Eine archivierte Version des Hudson Rock-Artikels ist jedoch immer noch zu erreichen [6].

Statements von TicketMaster und Snowflake zu den Vorfällen

Am 31. Mai informierte Live Nation Entertainment, Inc. (die Muttergesellschaft von TicketMaster) die Securities and Exchange Commission (SEC) [7] mittels eines 8-K-Formulars darüber, dass am 20. Mai „unbefugte Aktivitäten innerhalb einer Cloud- Datenbank eines Drittanbieters festgestellt wurden, die Daten des Unternehmens enthält (hauptsächlich von der Tochtergesellschaft TicketMaster L.L.C.)“.

Nachdem Snowflake beschuldigt wurde, als unfreiwilliger Angriffsvektor zu fungieren, veröffentlichte das Unternehmen am 2. Juni zusammen mit den externen Cybersecurity-Experten CrowdStrike und Mandiant eine eigene gemeinsame Erklärung. Sie erklärten, dass sie an einer laufenden Untersuchung einer gezielten Angriffskampagne gegen einige Snowflake-Kundenkonten beteiligt sind [8]. Zu den wichtigsten vorläufigen Ergebnissen gehört, dass sie „keine Schwachstelle, Fehlkonfiguration oder Lücke in der Snowflake-Plattform und auch keine kompromittierten Zugangsdaten von aktuellen oder ehemaligen Snowflake-Mitarbeitern als Ursache für die Aktivitäten identifizieren konnten.“

Snowflake dementierte nicht, was Sicherheitsfirmen in den vergangenen Tagen gemeldet hatten, und bestätigte, dass sie Beweise dafür gefunden hatten, dass „ein Angreifer persönliche Zugangsdaten zu Demo-Konten eines ehemaligen Snowflake-Mitarbeiters erhalten und darauf zugegriffen hat“. Sie sagten jedoch, dass dieses Konto keinen Zugang zu sensiblen Daten gewährt hätte. Der Grund für die Kompromittierung sei, dass es sich um ein Demo-Konto gehandelt habe, das nicht mit Okta oder Multi-Faktor-Authentifizierung (MFA) gesichert gewesen sei, im Gegensatz zur üblichen Einrichtung der Unternehmens- und Produktionssysteme von Snowflake.
Snowflake bestätigt, dass hinter dem aktuellen Vorfall „eine gezielte Kampagne zu stehen scheint, die auf Benutzer mit Ein-Faktor-Authentifizierung abzielt“ und dass „als Teil dieser Kampagne Angreifer Anmeldeinformationen genutzt haben, die zuvor gekauft oder durch infostealing Malware erlangt wurden“. Angesichts dieser beiden Kernaussagen behauptet Snowflake, dass sie zwar nicht kompromittiert wurden, aber eine aktive Kampagne gegen ihre Kunden entdeckt hätten, bei der Angreifer zuvor mit Infostealern kompromittierte Zugangsdaten nutzten, um Konten anzugreifen, die nicht ordnungsgemäß mit einer Multi-Faktor-Authentifizierung gesichert waren.

Snowflake hat bis jetzt keine Liste der möglicherweise betroffenen Kunden veröffentlicht, behauptet aber, diese umgehend informiert zu haben. Um seine Kunden bei der Untersuchung potenzieller Bedrohungen zu unterstützen, stellte das Unternehmen einige Anhaltspunkte zur Verfügung, an denen sich die Kunden orientieren können [9].

Welche Erkenntnisse können wir aus diesen Angriffen gewinnen?

1. Sowohl Snowflake als auch Live Nation (TicketMaster) wurden kompromittiert.

Einem Mitarbeiter von Snowflake wurden seine Login-Daten über eine Lumma-Stealer-Kampagne gestohlen, wahrscheinlich am 5. Oktober 2023 [6]. Die kompromittierten Informationen gehören zu einem Demo-Konto, das nicht hinter Okta oder Multi-Faktor-Authentifizierung (MFA) stand [8]. Dieses Konto wurde kompromittiert und die Angreifer konnten darauf zugreifen. Allerdings hatte dieses Konto keinen Zugriff auf sensible Daten. Live Nation (TicketMaster) wurde über eine Cloud- Datenbank von einem Drittanbieter kompromittiert, die Unternehmensdaten enthielt [7].
Obwohl beide Vorfälle tatsächlich stattfanden, ist die Beziehung zwischen ihnen noch nicht bestätigt worden. Snowflake hat bestätigt [8], dass sie eine aktive Kampagne gegen ihre Kunden entdeckt haben, bei der Angreifer Zugangsdaten verwenden, die zuvor mit Infostealern kompromittiert wurden, um Konten anzugreifen, die nicht ordnungsgemäß mit einer Multi-Faktor-Authentifizierung gesichert wurden. Sie haben jedoch dementiert, dass die Ursache für diese Aktivitäten kompromittierte Zugangsdaten von aktuellen oder ehemaligen Snowflake-Mitarbeitern sind.
Live Nation hat bisher weder bestätigt noch dementiert, ob der Zugriff auf die Cloud-Datenbank eines Drittanbieters, die Unternehmensdaten enthält, mit kompromittierten Zugangsdaten erfolgte, und auch nicht, ob für das Konto MFA aktiviert war oder nicht.

2. Die Auswirkungen der zielgerichteten Kampagne können nicht bestätigt werden.

Hudson Rock erwähnte [6] mindestens neun potenzielle Opfer im Zusammenhang mit dieser Kampagne. Der Sicherheitsforscher Kevin Beaumont bestätigte am 1. Juni, dass sechs große Unternehmen von Snowflake-Angriffen betroffen waren [10]. Eines dieser Unternehmen wäre Advance Auto Parts, dessen Daten bereits am 5. Juni auf BreachForums zum Verkauf angeboten wurden [11]. Snowflake bietet laut Beaumont eine kostenlose Testversion an, bei der sich jeder anmelden und Daten hochladen kann [12], und die Einrichtung der Authentifizierung wäre keine leichte Aufgabe [13].
Wenn Angreifer es tatsächlich auf die Kunden von Snowflake abgesehen haben, indem sie Zugangsdaten nutzen, die sie zuvor gekauft oder durch infostealing Malware erlangt haben, ist es sehr wahrscheinlich, dass noch mehr Kunden betroffen sein werden. Damit diese Anmeldedaten funktionieren, müssen diese Kunden auch die Ein-Faktor-Authentifizierung aktiviert haben, was aufgrund der von Forschern hervorgehobenen Komplikationen bei der Aktivierung der MFA wahrscheinlicher ist.

3. Identitätsbasierte Angriffe sind in den letzten Monaten in den Fokus gerückt.

Unter Berufung auf die mutmaßlichen Angreifer erwähnte vx-underground [3]: „Irgendwann im April war eine nicht identifizierte Threat Group in der Lage, sich über einen Managed Service Provider Zugang zu TicketMaster AWS-Instanzen zu verschaffen.“ Gleichzeitig veröffentlichte Okta Security am 28. Mai 2024 eine Warnung vor „verdächtigen Aktivitäten, die am 15. April begannen“, und die sich auf Endpoints bezogen, die zur Unterstützung einer Cross-Origin-Authentifizierung in ihrer Customer Identity Cloud (CIC) verwendet wurden und anfällig für Angriffe von Angreifern waren, die Credential Stuffing-Angriffe orchestrierten [13].
Der Hinweis von Okta kommt unmittelbar nachdem Cisco Talos bestätigt hat, dass es seit mindestens 18. März 2024 einen weltweiten Anstieg von Brute-Force-Angriffen gegen eine Vielzahl von Zielen aktiv beobachtet [14]. Nach den Erkenntnissen von Talos wurden bei den Brute-Force-Angriffen diesmal allgemeine Benutzernamen und gültige Benutzernamen für bestimmte Organisationen verwendet. Es ist wichtig zu betonen, dass wir keinen Zusammenhang zwischen all diesen Hinweisen herstellen, sondern lediglich auf die Wahrscheinlichkeit der von Snowflake in ihrer Erklärung erwähnten Kampagne hinweisen.

4. Zugangsdaten sind (fast) immer die Hauptursache!

Identitätsbasierte Angriffe können durch Brute-Force-Methoden durchgeführt werden, aber es ist effizienter, direkt kompromittierte Login-Daten zu verwenden. Die Vorteile dieser Variante sind wahrscheinlich einer der Gründe für den massiven Anstieg der Infostealer-Infektionen in diesen Tagen. Jüngsten Berichten von Mandiant [14] und Kaspersky [15] zufolge war diese Art von Malware im vergangenen Jahr am weitesten verbreitet, und im Jahr 2023 sollen fast 10 Millionen Geräte Infostealern zum Opfer fallen.
Um die riesige Menge an gestohlenen Informationen zu bewältigen, hat sich das aktuelle Ökosystem für den Diebstahl und Verkauf von Zugangsdaten weiterentwickelt und neue Geschäftsmodelle entwickelt, wie z. B. Händlerorganisationen (weitere Informationen finden Sie im Bericht „The Rising Threat of Traffers“ ) und andere Sharing-Plattformen wie die legitime Messaging-App Telegram.

5. Wer steckt noch hinter den Angriffen?

Einige Forscher haben es gewagt, eine mögliche Verwicklung von „Scattered Spider“ [16] in diese neue Kampagne zu erwähnen. Dieser Gedanke wäre nicht weit hergeholt, da diese Gruppe bereits an der Durchführung identitätsbasierter Angriffe beteiligt war. Bislang konnten wir jedoch noch keine schlüssigen Informationen sammeln, die eine Bestätigung dieser Hypothese ermöglichen würden.

So schützen Sie Ihre Organisation vor kompromittierten Zugangsdaten

Angriffe wie diese machen deutlich, wie wichtig es ist, sich einen Überblick darüber zu verschaffen, ob die Anmeldedaten Ihrer Nutzer in die falschen Hände geraten sind. Die Exposure-Management-Plattform von Outpost24 bietet mehrere Möglichkeiten, die Gefahr durch kompromittierte Zugangsdaten einzudämmen:

• Die EASM-Lösung (External Attack Surface Management) von Outpost24 nutzt ein Threat-Intelligence-Modul, um zu erkennen, ob die Zugangsdaten von Nutzern einer Ihrer Domains im Dark Web geleakt wurden – buchen Sie hier einen kostenlosen Attack Surface Scan.
• Tiefere Einblicke erhalten Sie mit dem Threat Compass von Outpost24, mit dem Sie kompromittierte Zugangsdaten, die in Verbindung mit Ihrer Organisation stehen, in Echtzeit erkennen und abrufen können.
• Wenn Ihre Nutzer bereits kompromittierte Passwörter verwenden, was dann? Specops Password Policy überwacht Ihr Active Directory kontinuierlich auf kompromittierte Zugangsdaten und weist die Endbenutzer darauf hin, dass sie ihre Passwörter ändern müssen, wenn ihre Passwörter verletzt wurden. Specops ist ein Unternehmen von Outpost24 – testen Sie Specops Password Policy kostenlos hier.

Sie wissen nicht, wo Sie anfangen sollen? Unsere Experten beraten Sie gerne über die passendste Lösung für Ihre Organisation.

Quellenverweis:

[1] Dark Web Informer [@DarkWebInformer]. (2024, May 28). Post. X. https://x.com/DarkWebInformer/status/1795237523238551694 

[2] vx-underground [@vxunderground]. (2024, May 30). Post. X. https://x.com/vxunderground/status/1796217510544527857 

[3] vx-underground [@vxunderground]. (2024, May 30). Post. X. https://x.com/vxunderground/status/1796063116574314642 

[4] Hudson Rock LinkedIn [@hudson-rock]. (2024, May 4). Post. LinkedIn. https://www.linkedin.com/posts/hudson-rock_activity-7203433945919578113-RH05/ 

[5] WhiteIntel Dark-Web Intelligence [@whiteintel_io]. (2024, June 1). Post. X. https://x.com/whiteintel_io/status/1796794483339669968 

[6] Archive – Hudson Rock. (2024, May 31). Snowflake, Cloud Storage Giant, Suffers Massive Breach: Hacker Confirms to Hudson Rock Access Through Infostealer Infection. https://web.archive.org/web/20240531140540/https://hudsonrock.com/blog/snowflake-massive-breach-access-through-infostealer-infection 

[7] United States Securities and Exchange Commission. (2024, May 31). FORM 8-K Live Nation Entertainment, Inc. https://www.sec.gov/Archives/edgar/data/1335258/000133525824000081/lyv-20240520.htm 

[8] Snowflake. (2024, June 2). Detecting and Preventing Unauthorized User Access. https://community.snowflake.com/s/question/0D5VI00000Emyl00AB/detecting-and-preventing-unauthorized-user-access 

[9] Snowflake. (2024, June 3). Detecting and Preventing Unauthorized User Access: Instructions. https://community.snowflake.com/s/article/Communication-ID-0108977-Additional-Information 

[10] Kevin Beaumont [@GossiTheDog@cyberplace.social]. (2024, June 1). Post. Mastodon. https://cyberplace.social/@GossiTheDog/112538298122679069 

[11] HackManac [@H4ckManac]. (2024, June 5). Post. X. https://x.com/H4ckManac/status/1798342651407663254 

[12] Kevin Beaumont [@GossiTheDog@cyberplace.social]. (2024, May 31). Post. Mastodon. https://cyberplace.social/@GossiTheDog/112536407633131499 

[13] Kevin Beaumont [@GossiTheDog@cyberplace.social]. (2024, June 3). Post. Mastodon. https://cyberplace.social/@GossiTheDog/112552067562285307 

[14] Mandiant – Google. (2024, February 23). A year in the cybersecurity trenches with Mandiant Managed Defense. https://cloud.google.com/blog/products/identity-security/a-year-in-the-cybersecurity-trenches-with-mandiant-managed-defense 

[15] Kaskersky. (2024, April 2). Data-stealing malware infections increased sevenfold since 2020, Kaspersky experts say. https://www.kaspersky.com/about/press-releases/2024_data-stealing-malware-infections-increased-sevenfold-since-2020-kaspersky-experts-say 

[16] CyberKnow. (2024, June 3). Navigating The TicketMaster Data Breach. https://cyberknow.substack.com/p/navigating-the-TicketMaster-data