“Esto significa que [un trabajador de EPAM] quien tenía acceso a [esa cuenta en] Snowflake poseía malware para robar contraseñas en su computadora, y su contraseña fue robada y vendida en la dark web”, destaca el investigador, quien pidió ser identificado únicamente como Reddington, una identidad que emplea en internet para comunicarse con los ciberdelincuentes. “Esto significa que cualquiera que conociera la URL correcta de Snowflake [para Ticketmaster] habría podido simplemente buscar la contraseña, iniciar sesión y robar la información”.
Cuando WIRED se puso en contacto con EPAM a principios de esta semana, una representante de la misma no parecía tener conocimiento de que su empresa hubiera desempeñado supuestamente un papel en el hackeo de las cuentas de Snowflake. “No hacemos comentarios sobre situaciones de las que no formamos parte”, escribió en un email, sugiriendo que la compañía no creía haberse involucrado de ninguna manera en la campaña. Cuando WIRED le proporcionó a la vocera detalles sobre cómo los ciberdelincuentes aseguran que obtuvieron acceso al sistema de un trabajador de EPAM en Ucrania, respondió: “Los hackers difunden con frecuencia información falsa para promover sus agendas. Mantenemos una política de no participar en la desinformación y defendemos sistemáticamente sólidas medidas de seguridad para proteger nuestras operaciones y a nuestros clientes. Continuamos nuestra exhaustiva investigación y, en este momento, no vemos pruebas que sugieran que nos hayamos visto afectados o implicados en este asunto”.
WIRED hizo un seguimiento facilitando el nombre del empleado ucraniano cuyo equipo fue supuestamente comprometido por los hackers, así como el usuario y la contraseña con los que ingresaba a la cuenta en Snowflake de Ticketmaster, pero la vocera no respondió a ninguna pregunta adicional.
Es posible que los integrantes de ShinyHunter no hackearan directamente al trabajador de EPAM, y simplemente accedieran a las cuentas de Snowflake mediante nombres de usuario y contraseñas que obtuvieron de antiguos repositorios de credenciales robadas por info-stealers. Pero, como señala Reddington, esto significa que cualquier otra persona puede buscar en tales registros éstas y otras credenciales sustraídas de cuentas de EPAM. Reddington comenta que encontraron datos en internet que fueron aprovechados por nueve info-stealers diferentes para recopilar información de las máquinas de los trabajadores de EPAM. Esto plantea preocupaciones potenciales sobre la seguridad de los datos pertenecientes a otros clientes de esta empresa.
EPAM tiene clientes en varios sectores críticos, como bancos y otros servicios financieros, atención médica, canales de transmisión, farmacéutica, energía y otros servicios públicos, seguros y software y alta tecnología; entre estos últimos figuran Microsoft, Google, Adobe y Amazon Web Services. Sin embargo, no está claro si alguna de estas compañías dispone de cuentas en Snowflake a las que tengan acceso los trabajadores de EPAM. WIRED tampoco ha podido confirmar si Ticketmaster, Santander, Lending Tree o Advance AutoParts son clientes de EPAM.
La campaña Snowflake también destaca los crecientes riesgos de seguridad de las empresas de terceros en general y de los info-stealers. En la entrada de su blog de esta semana, Mandiant sugería que se había vulnerado la seguridad de varios contratistas para acceder a las cuentas de Snowflake, señalando que los proveedores, a menudo conocidos como compañías de subcontratación de procesos empresariales (BPO, por sus siglas en inglés), son una mina de oro potencial para los hackers, porque comprometer la máquina de un contratista que tiene acceso a las cuentas de varios clientes puede permitirles entrar directamente en muchas de ellas.