Se dice que hasta 165 clientes de Snowflake han visto su informaci\u00f3n potencialmente expuesta como parte de una campa\u00f1a en curso dise\u00f1ada para facilitar el robo de datos y la extorsi\u00f3n, lo que indica que la operaci\u00f3n tiene implicaciones m\u00e1s amplias de lo que se pensaba anteriormente.<\/p>\n
Mandiant, propiedad de Google, que est\u00e1 ayudando a la plataforma de almacenamiento de datos en la nube en sus esfuerzos de respuesta a incidentes, est\u00e1 rastreando el grupo de actividad a\u00fan sin clasificar bajo el nombre UNC5537<\/strong>describi\u00e9ndolo como un actor de amenazas con motivaci\u00f3n financiera.<\/p>\n “UNC5537 est\u00e1 comprometiendo sistem\u00e1ticamente las instancias de los clientes de Snowflake utilizando credenciales de clientes robadas, anunciando la venta de datos de las v\u00edctimas en foros de cibercrimen e intentando extorsionar a muchas de las v\u00edctimas”, la firma de inteligencia de amenazas dicho<\/a> los lunes.<\/p>\n “UNC5537 se ha dirigido a cientos de organizaciones en todo el mundo y con frecuencia extorsiona a las v\u00edctimas para obtener ganancias financieras. UNC5537 opera bajo varios alias en canales de Telegram y foros de cibercrimen”.<\/p>\n Hay evidencia que sugiere que el grupo de hackers est\u00e1 formado por miembros con sede en Am\u00e9rica del Norte. Tambi\u00e9n se cree que colabora con al menos un partido adicional con sede en Turqu\u00eda.<\/p>\n Esta es la primera vez que se divulga oficialmente el n\u00famero de clientes afectados. Anteriormente, Snowflake hab\u00eda se\u00f1alado que un “n\u00famero limitado” de sus clientes se vieron afectados por el incidente. La empresa tiene m\u00e1s de 9.820 clientes globales<\/a>.<\/p>\n La campa\u00f1a, como lo describi\u00f3 anteriormente Snowflake, surge de credenciales de clientes comprometidas compradas en foros de cibercrimen u obtenidas a trav\u00e9s de malware de robo de informaci\u00f3n como Lumma, MetaStealer, Raccoon, RedLine, RisePro y Vidar. Se cree que comenz\u00f3 el 14 de abril de 2024.<\/p>\n En varios casos, las infecciones de malware de ladrones se han detectado en sistemas de contratistas que tambi\u00e9n se usaban para actividades personales, como juegos y descarga de software pirateado, el \u00faltimo de los cuales ha sido un conducto probado para distribuir ladrones.<\/p>\n Se ha descubierto que el acceso no autorizado a las instancias de los clientes allana el camino para una utilidad de reconocimiento denominada FROSTBITE (tambi\u00e9n conocida como “rapeflake”) que se utiliza para ejecutar consultas SQL y recopilar informaci\u00f3n sobre los usuarios, roles actuales, IP actuales, ID de sesi\u00f3n y nombres de organizaciones. .<\/p>\n Mandiant dijo que no ha podido obtener una muestra completa de FROSTBITE, y la compa\u00f1\u00eda tambi\u00e9n destac\u00f3 el uso por parte del actor de amenazas de una utilidad leg\u00edtima llamada DBeaver \u00faltimo<\/a> para conectar y ejecutar consultas SQL en instancias de Snowflake. La etapa final del ataque implica que el adversario ejecute comandos para organizar y extraer datos.<\/p>\n Copo de nieve, en un aviso actualizado<\/a>, dijo que est\u00e1 trabajando estrechamente con sus clientes para reforzar sus medidas de seguridad. Tambi\u00e9n dijo que est\u00e1 desarrollando un plan para exigirles que implementen controles de seguridad avanzados, como autenticaci\u00f3n multifactor (MFA) o pol\u00edticas de red.<\/p>\n Los ataques, se\u00f1al\u00f3 Mandiant, han tenido un gran \u00e9xito debido a tres razones principales: falta de autenticaci\u00f3n multifactor (MFA), no rotaci\u00f3n peri\u00f3dica de credenciales y falta de controles para garantizar el acceso s\u00f3lo desde ubicaciones confiables.<\/p>\n “La primera fecha de infecci\u00f3n por ladr\u00f3n de informaci\u00f3n observada asociada con una credencial aprovechada por el actor de amenazas se remonta a noviembre de 2020”, dijo Mandiant, y agreg\u00f3 que “identific\u00f3 cientos de credenciales de clientes de Snowflake expuestas a trav\u00e9s de ladrones de informaci\u00f3n desde 2020”.<\/p>\n “Esta campa\u00f1a destaca las consecuencias de grandes cantidades de credenciales que circulan en el mercado de robo de informaci\u00f3n y puede ser representativa de un enfoque espec\u00edfico por parte de actores de amenazas en plataformas SaaS similares”.<\/p>\n Los hallazgos sirven para subrayar la creciente demanda del mercado de ladrones de informaci\u00f3n y la amenaza generalizada que representan para las organizaciones, lo que resulta en la aparici\u00f3n regular de nuevas variantes de ladrones como AsukaStealer<\/a>, Cuco<\/a>, Iluria<\/a>, k1w1<\/a>, SamsStealer<\/a>y Seidr<\/a> que se ofrecen a la venta a otros actores criminales.<\/p>\n “En febrero, Sultan, el nombre detr\u00e1s del malware Vidar, comparti\u00f3 una imagen que mostraba a los ladrones Lumma y Raccoon, juntos en combate contra soluciones antivirus”, Cyfirma dicho<\/a> en un an\u00e1lisis reciente. “Esto sugiere colaboraci\u00f3n entre los actores de amenazas, ya que unen fuerzas y comparten infraestructura para lograr sus objetivos”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Snowflake-Breach-expone-los-datos-de-165-clientes-en-una.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n