3min Security

Werkwijze Snowflake-hackers onthuld in aanklacht

Werkwijze Snowflake-hackers onthuld in aanklacht

Onlangs werden de mogelijke Snowflake-hackers Connor Moucka uit Canada en John Bins uit Turkije gearresteerd. Nu heeft dit tot een daadwerkelijke aanklacht geleid van de Amerikaanse Justitie. Uit de aanklacht komen meer details naar voren over de werkwijze bij de hack.

Beide verdachten zitten nog steeds in Canada en Turkije vast. Ze worden in de recent gepubliceerde Amerikaanse aanklacht beschuldigd van het uitvoeren van een internationale hack- en afpersoperatie tegen meer dan tien bedrijven en organisaties.

De gestolen data omvatte logs van telefoongesprekken en sms-berichten, bankgegevens en andere financiële informatie, salarisstroken en andere -data, Drug Enforcement Agency-registratienummers, rijbewijs- en paspoortinformatie en BSN-nummers.

De Amerikaanse aanklager houdt beide verdachten daarom verantwoordelijk voor computerfraude, transactiefraude en vergaande identiteitsfraude

Hoewel de aanklacht geen slachtoffers specificeert, lijken deze in lijn te zijn met de bekende slachtoffers van de hack die al bekend zijn en klanten zijn van Snowflake. Voorbeelden hiervan zijn Ticketmaster, AT&T en de bank Santander.

Lees ook: Lijst met getroffen Snowflake-klanten sinds Ticketmaster-lek blijft groeien

Modus operandi duidelijker

De aanklacht geeft ook meer details over hoe beide hackers te werk zijn gegaan bij hun hack- en afpersactiviteiten. Beide verdachten zochten, onder een reeks van schuilnamen, tussen november 2023 en oktober 2024 met eerder gestolen inloggegevens toegang tot de Snowflake cloud instances van de getroffen bedrijven.

Vervolgens gebruikten zij zogenoemde ‘Rapeflake’-software om op deze instances de interessante gevoelige data te identificeren en te stelen. Daarna benaderden zij de slachtoffers om hen af te persen. Ten minste drie bedrijven zouden daadwerkelijk hebben betaald en de hackers zouden daarbij ongeveer 2,5 miljoen dollar hebben opgehaald.

Beide verdachten adverteerden de gestolen data ook op hackersfora als BreachForums, Expoloit.in en XSS.is. De data werden daarbij te koop aangeboden voor geldbedragen of voor cryptovaluta.

Volgens Google security-experts zijn de hackers de meest gevaarlijke van dit jaar. Moucka en Bins zouden ook connecties hebben met de beruchte ransomwarebende ScatteredSpider. Deze bende zou onder meer verantwoordelijk zijn voor de beruchte hacks op de grote casino’s in Las Vegas vorig jaar. John Bins zou daarnaast ook betrokken zijn bij een hackaanval op T-Mobile USA in 2021.

Rechtszaak tegen Ticketmaster

De grote hack heeft nog steeds gevolgen. In oktober dit jaar hebben gedupeerde klanten in een class action-rechtszaak Ticketmaster en moederbedrijf LiveNation voor de Californische rechter gesleept. Zij verwijten beide bedrijven dat vanwege de hack zij niet goed voor de beveiliging van de persoonlijke data hebben gezorgd.

Mogelijk zijn door de hackaanval wereldwijd 560 miljoen Ticketmaster-klanten het slachtoffer geworden van de diefstal van hun persoonlijke gegevens.

Lees meer: Canada arresteert mogelijke hacker achter Snowflake-hacks