Mandiant, una empresa de ciberseguridad, publicó una entrada de blog el 10 de junio en la que describe una campaña de ataques que afecta a los clientes de Snowflake. Cuenta alrededor de 165 organizaciones potencialmente expuestas. También va en dirección a la empresa especializada en la gestión de datos en la nube, confirmando que no son sus sistemas los que han fallado.
“Un actor de amenazas motivado financieramente”
Ticketmaster y LendingTree son hasta ahora las únicas dos empresas que han admitido haber sufrido el robo de datos relacionados con la campaña dirigida a los clientes de Snowflake, según un recuento de Crunch tecnológico. Algunos grupos simplemente han dicho que están investigando.
Hasta ahora, el número potencial de víctimas seguía siendo vago. Simplemente se afirmó que se había robado un volumen importante de datos de los entornos Snowflake, pero que esto afectaba a una pequeña parte de los clientes de la plataforma. Este último cuenta con unos 9.800 clientes, las cifras presentadas por Mandiant confirman esta afirmación.
Snowflake, Mandiant y CrowdStrike, otro especialista en ciberseguridad, están trabajando juntos para identificar los entresijos de la operación actual. En su entrada de blog, la empresa adquirida hace dos años por Google identifica al atacante con el nombre UNC5537: “ un actor de amenazas motivado financieramente “.
La información recopilada se vende a las víctimas o se utiliza para chantajearlas. El principio de la extorsión es simple: o hay un pago o estos datos potencialmente confidenciales se encuentran en la naturaleza.
Con una ” confianza moderada » Se sospecha que esta banda tiene miembros en América del Norte y uno en Türkiye. No parece utilizar ningún medio específicamente innovador. Para esta campaña, parece que las credenciales para los entornos Snowflake se compraron y/o recolectaron a través del malware infostealer, acertadamente llamado.
Los primeros rastros de ciberamenazas se remontan a abril de 2023, fueron detectadas el 23 de mayo. Otras víctimas aún podrían ser el objetivo.
Snowflake planea exigir identificación multifactor para sus instancias
Mandiant escribe para tener “ no encontró evidencia que sugiera que el acceso no autorizado a las cuentas de los clientes de Snowflake proviniera de una violación del entorno empresarial de Snowflake. “. Una aclaración importante para la credibilidad de la empresa de la nube y que sigue repitiendo.
Parece que una parte importante de las víctimas no ha implementado sistemas de autenticación multifactor. Snowflake no impone específicamente ninguna funcionalidad de ciberseguridad. Una situación que podría cambiar.
En la página del evento de la compañía, una actualización del 7 de junio, el viernes pasado, dice ” También estamos desarrollando un plan para exigir a nuestros clientes que implementen controles de seguridad avanzados, como la autenticación multifactor (MFA). “.
En cuanto a UNC5537, Mandiant cree que la pandilla “ continuará este patrón de intrusión, apuntando a otras plataformas SaaS en un futuro próximo “.