Киберпрестъпната група ShinyHunters е откраднала лични данни на около 4,9 милиона акаунта след пробив в системите на американския телекомуникационен гигант Charter Communications. Информацията беше потвърдена от услугата за известяване при течове на данни Have I Been Pwned.

Атаката е започнала чрез vishing срещу служител

Според данните атаката е извършена в началото на април чрез voice phishing (vishing) схема, при която нападателите са компрометирали акаунт в Microsoft Entra, принадлежащ на служител на компанията.

След получаване на достъп до вътрешната инфраструктура, ShinyHunters твърдят, че са успели да проникнат в Salesforce средата на Charter и да изтеглят огромен обем клиентски данни.

Според групата са били откраднати приблизително 42 милиона записа, включително:

• имена на клиенти;
• имейл адреси;
• физически адреси;
• телефонни номера;
• информация за абонаментни планове;
• данни от support тикети;
• информация за бизнес клиенти;
• частични CPNI данни.

Charter отрича кражба на чувствителни данни

От Charter Communications потвърдиха инцидента, но категорично отрекоха да са били компрометирани чувствителни лични данни или Customer Proprietary Network Information (CPNI).

Компанията заяви, че атаката е засегнала единствено инструменти за управление на текущи, бивши и потенциални бизнес клиенти, използвани от търговските екипи.

Въпреки това анализът на Have I Been Pwned показва, че в публикувания leak присъстват:

• 4,9 милиона уникални имейл адреса;
• имена;
• телефонни номера;
• физически адреси;
• длъжности на около 85 000 служители от вътрешна директория.

Данните са публикувани в dark web след отказ за плащане

След като Charter отказала да плати искания откуп, ShinyHunters публикували откраднатите файлове в своя dark web leak портал.

Групата продължава да се утвърждава като една от най-активните extortion операции, насочени към компании, използващи Salesforce инфраструктура.

През последната година ShinyHunters са свързвани със стотици пробиви по света, включително мащабни атаки срещу Salesforce Aura среди и кампании, използващи платформата Salesloft Drift.

ФБР предупреждава компаниите да не плащат откупи

ФБР наскоро предупреди жертвите на ShinyHunters да не се поддават на исканията за откуп.

Според ФБР плащането не гарантира, че откраднатите данни няма да бъдат продадени на други престъпни групи или използвани за последващи изнудвания.

Това е пореден пример за тенденцията extortion групите да комбинират социално инженерство, cloud компрометиране и изтичане на данни като основен инструмент за натиск върху големи организации.

Charter вече беше сред жертвите на Salt Typhoon

Настоящият инцидент идва след предишни компрометирания на Charter Communications, свързвани с китайската държавно подкрепяна група Salt Typhoon.

Същата операция засегна и други големи телекомуникационни оператори като AT&T, Verizon, Lumen Technologies, Windstream и Consolidated Communications.

Анализатори предупреждават, че телекомуникационният сектор остава една от най-атрактивните цели както за финансово мотивирани групи, така и за държавно подкрепяни кибероперации.