Gigante de Telecomunicaciones Pagó Rescate de $370k

XPoint
Publicado el 15/07/2024
Versión en español

 

La reciente brecha de datos de AT&T ha sido vinculada a un hacker estadounidense que vive en Turquía, y se informa que el gigante de telecomunicaciones pagó un rescate significativo para asegurar que la información robada fuera eliminada.

AT&T reveló el viernes que sufrió una brecha de datos que afecta a casi todos sus clientes de servicios inalámbricos. La compañía dijo que en abril, los hackers exfiltraron registros de interacciones de llamadas y mensajes de texto de clientes desde el 1 de mayo de 2022 hasta el 31 de octubre de 2022, así como el 2 de enero de 2023. Los datos se originaron del ‘workspace’ de AT&T en una plataforma de nube de terceros.

La compañía explicó que los registros comprometidos identifican otros números de teléfono con los que interactuaron los clientes afectados, incluyendo recuentos de llamadas o mensajes de texto y duraciones de llamadas. El contenido de las llamadas o mensajes, marcas de tiempo y otra información personal sensible no se vio afectada.

“Aunque los datos no incluyen nombres de clientes, a menudo hay formas de encontrar un nombre asociado con un número de teléfono usando herramientas en línea disponibles públicamente”, dijo AT&T.

El gigante de telecomunicaciones también señaló que no cree que los datos robados estén disponibles públicamente y dijo que había recibido información de que «al menos una persona ha sido detenida». AT&T está notificando a aproximadamente 110 millones de clientes sobre el incidente.

Más información relacionada con el hackeo de AT&T se hizo disponible durante el fin de semana. Wired informó que AT&T pagó a un hacker aproximadamente $370,000 en bitcoin en mayo para evitar que los datos se filtraran. El hacker en cuestión, miembro del notorio grupo ShinyHunters, proporcionó prueba de la transacción, que también fue confirmada a Wired por otros basándose en registros de transferencias de criptomonedas.

El hacker supuestamente exigió un rescate de $1 millón a AT&T, pero finalmente se conformó con mucho menos. El hacker proporcionó a AT&T un video que mostraba que había eliminado los datos robados.

Los datos de clientes de AT&T parecen provenir de la plataforma de almacenamiento de datos Snowflake. Cientos de instancias de Snowflake, incluidas las de grandes empresas como Ticketmaster, Banco Santander, Advance Auto Parts y Neiman Marcus, fueron comprometidas recientemente mediante el uso de credenciales de clientes robadas. Se dice que el grupo ShinyHunters está involucrado en el ataque a Snowflake.

Sin embargo, según información obtenida por Wired, John Binns, un hacker estadounidense que ha estado viviendo en Turquía durante varios años, también está involucrado en el hackeo a AT&T. En 2021, el nombre de Binns apareció en la prensa después de que se atribuyera el hackeo a T-Mobile. Fue acusado el año siguiente.

Binns fue arrestado en Turquía en mayo de 2024 por la brecha de T-Mobile, lo que puede ser la razón por la cual AT&T mencionó a una persona detenida en su declaración pública.

404 Media también supo de múltiples fuentes que Binns está vinculado al hackeo de AT&T.

Un investigador que usa el apodo en línea Reddington dijo a Wired que fue contactado en abril por Binns, quien afirmó haber obtenido los registros de llamadas de millones de clientes de AT&T desde Snowflake.

Se le pidió a Reddington que facilitara una ‘recompra de los datos’ con AT&T y afirmó haber manejado también las negociaciones entre los hackers y otras víctimas del hackeo a Snowflake.

Supuestamente, AT&T debía enviar el rescate de $370,000 a Binns, pero terminó enviándolo a un miembro de ShinyHunters debido al arresto de Binns en Turquía.

Según Reddington, Binns y el hacker de ShinyHunters almacenaron la base de datos completa de AT&T en un servidor en la nube desde donde fue eliminada después de que la compañía pagara el rescate. Sin embargo, es posible que hayan enviado muestras de los datos a varias personas antes de que fueran eliminados.

SecurityWeek se ha puesto en contacto con AT&T para obtener confirmación, pero la compañía se negó a comentar.

 

____________________________

 

English version

AT&T Breach Linked to American Hacker, Telecom Giant Paid $370k Ransom: Reports

 

The recently disclosed AT&T data breach has been linked to an American hacker living in Turkey, and the telecom giant reportedly paid a significant ransom to ensure that the stolen information would be deleted.

AT&T revealed on Friday that it had suffered a data breach affecting nearly all of its wireless customers. The company said that in April, hackers exfiltrated records of customer call and text interactions from May 1, 2022, to October 31, 2022, as well as on January 2, 2023. The data originated from AT&T’s ‘workspace’ on a third-party cloud platform.

The company explained that the compromised records identify other phone numbers that impacted customers interacted with, including call or text counts and call durations. The content of calls or texts, timestamps, and other sensitive personal information was not impacted.

“While the data doesn’t include customer names, there are often ways to find a name associated with a phone number using publicly available online tools,” AT&T said.

The telecom giant also noted that it does not believe the stolen data is publicly available and said it had received information that “at least one person has been apprehended.” AT&T is notifying roughly 110 million customers about the incident.

More information relating to the AT&T hack became available over the weekend. Wired reported that AT&T paid a hacker roughly $370,000 in bitcoin back in May in order to prevent the data from getting leaked. The hacker in question, a member of the notorious ShinyHunters group, provided proof of the transaction, which was also confirmed to Wired by others based on cryptocurrency transfer records.

The hacker reportedly demanded a $1 million ransom from AT&T, but he ultimately settled for far less. The hacker provided AT&T with a video showing that he had deleted the stolen data.

The AT&T customer data appears to come from the Snowflake data storage platform. Hundreds of Snowflake instances, including ones belonging to major companies such as Ticketmaster, Santander Bank, Advance Auto Parts, and Neiman Marcus, were recently compromised through the use of stolen customer credentials. The ShinyHunters group is said to be involved in the Snowflake attack.

However, according to information obtained by Wired, John Binns, an American hacker who has been living in Turkey for several years, is also involved in the AT&T hack. In 2021, Binns’ name appeared in the press after he took credit for hacking T-Mobile. He was indicted the following year.

Binns was reportedly arrested in Turkey in May 2024 over the T-Mobile breach, which may be why AT&T mentioned an individual being apprehended in its public statement.

404 Media also learned from multiple sources that Binns is linked to the AT&T hack.

A researcher who uses the online moniker Reddington told Wired that he was contacted in April by Binns, who claimed to have obtained the call logs of millions of AT&T customers from Snowflake.

Reddington was asked to facilitate a ‘buyback of the data’ with AT&T and he claimed to have also handled negotiations between the hackers and other victims of the Snowflake hack.

AT&T was reportedly supposed to send the $370,000 ransom to Binns, but ended up sending it to a ShinyHunters member due to Binns’ arrest in Turkey.

According to Reddington, Binns and the ShinyHunters hacker stored the full AT&T database on a cloud server from where it was deleted after the company paid a ransom. However, they may have sent samples of the data to multiple individuals before it was deleted.

SecurityWeek has reached out to AT&T for confirmation, but the company declined to comment.

Preguntas frecuentes

¿Qué es AT&T?

+

AT&T Inc. es un holding multinacional estadounidense de telecomunicaciones con sede en Whitacre Tower en Downtown Dallas, Dallas, Texas. Es la tercera empresa de telecomunicaciones del mundo por ingresos y el mayor proveedor de servicios de telefonía móvil en Estados Unidos.

¿Qué es y para qué sirve un Hacking Ético?

+

El Ethical Hacking, también conocido como hacking ético, implica el uso de habilidades y técnicas similares a las de los hackers maliciosos, pero de manera legal y ética. Los profesionales de la ciberseguridad, conocidos como hackers éticos, utilizan estas habilidades para identificar y resolver vulnerabilidades en sistemas informáticos, redes y aplicaciones de una organización. El objetivo es mejorar la seguridad y proteger los activos digitales al encontrar y corregir fallos de seguridad antes de que sean explotados por ciberdelincuentes. Esta práctica ayuda a fortalecer las defensas cibernéticas, proteger la confidencialidad de la información y cumplir con requisitos regulatorios, además de prevenir pérdidas financieras y daños a la reputación. En resumen, el Ethical Hacking es una herramienta esencial para mitigar los riesgos de seguridad en un entorno digital cada vez más amenazante.

¿Qué es y para qué sirve un Pentesting?

+

El Pentesting, o pruebas de penetración, es una evaluación de seguridad que simula ciberataques controlados contra sistemas y redes de una organización. Realizado por profesionales de seguridad, busca identificar y explotar vulnerabilidades para evaluar la efectividad de las defensas y proporcionar recomendaciones de mejora. Ayuda a prevenir ataques, mejorar la seguridad y cumplir con requisitos normativos. En resumen, es una herramienta vital para fortalecer la seguridad informática de una organización.

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos