{"id":1195183,"date":"2024-06-11T19:54:50","date_gmt":"2024-06-11T21:54:50","guid":{"rendered":"https:\/\/teknomers.com\/fr\/snowflake-breach-expose-les-donnees-de-165-clients-dans-le-cadre-dune-campagne-dextorsion-en-cours\/"},"modified":"2024-06-11T19:54:55","modified_gmt":"2024-06-11T21:54:55","slug":"snowflake-breach-expose-les-donnees-de-165-clients-dans-le-cadre-dune-campagne-dextorsion-en-cours","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/snowflake-breach-expose-les-donnees-de-165-clients-dans-le-cadre-dune-campagne-dextorsion-en-cours\/","title":{"rendered":"Snowflake Breach expose les donn\u00e9es de 165 clients dans le cadre d&#8217;une campagne d&#8217;extorsion en cours"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 juin 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Vol de donn\u00e9es\/s\u00e9curit\u00e9 du cloud<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Snowflake-Breach-expose-les-donnees-de-165-clients-dans-le.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Pas moins de 165 clients de Snowflake auraient vu leurs informations potentiellement expos\u00e9es dans le cadre d&#8217;une campagne en cours con\u00e7ue pour faciliter le vol et l&#8217;extorsion de donn\u00e9es, ce qui indique que l&#8217;op\u00e9ration a des implications plus larges qu&#8217;on ne le pensait auparavant.<\/p>\n<p>Mandiant, propri\u00e9t\u00e9 de Google, qui assiste la plate-forme d&#8217;entreposage de donn\u00e9es cloud dans ses efforts de r\u00e9ponse aux incidents, suit le cluster d&#8217;activit\u00e9s non encore classifi\u00e9 sous le nom <strong>UNC5537<\/strong>le d\u00e9crivant comme un acteur mena\u00e7ant motiv\u00e9 par des raisons financi\u00e8res.<\/p>\n<p>&#8220;UNC5537 compromet syst\u00e9matiquement les instances des clients Snowflake en utilisant des identifiants client vol\u00e9s, en proposant des donn\u00e9es de victimes \u00e0 la vente sur des forums de cybercriminalit\u00e9 et en tentant d&#8217;extorquer de nombreuses victimes&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de renseignement sur les menaces. <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/unc5537-snowflake-data-theft-extortion\/\" target=\"_blank\">dit<\/a> le lundi.<\/p>\n<p>&#8220;UNC5537 a cibl\u00e9 des centaines d&#8217;organisations dans le monde et extorque fr\u00e9quemment ses victimes pour obtenir un gain financier. UNC5537 op\u00e8re sous divers pseudonymes sur les cha\u00eenes Telegram et les forums de cybercriminalit\u00e9.&#8221;<\/p>\n<p>Il existe des preuves sugg\u00e9rant que le groupe de piratage informatique est compos\u00e9 de membres bas\u00e9s en Am\u00e9rique du Nord.  Il semblerait \u00e9galement qu&#8217;il collabore avec au moins un autre parti bas\u00e9 en Turquie.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Vulnerabilite-Azure-Service-Tags-Microsoft-met-en-garde-contre-un.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>C&#8217;est la premi\u00e8re fois que le nombre de clients concern\u00e9s est officiellement divulgu\u00e9.  Auparavant, Snowflake avait not\u00e9 qu&#8217;un \u00ab nombre limit\u00e9 \u00bb de ses clients avaient \u00e9t\u00e9 touch\u00e9s par l&#8217;incident.  L&#8217;entreprise compte plus de <a rel=\"nofollow noopener\" href=\"https:\/\/www.snowflake.com\/en\/company\/overview\/about-snowflake\/\" target=\"_blank\">9\u00a0820 clients dans le monde<\/a>.<\/p>\n<p>La campagne, comme l&#8217;a d\u00e9j\u00e0 soulign\u00e9 Snowflake, d\u00e9coule d&#8217;informations d&#8217;identification de clients compromises achet\u00e9es sur des forums de cybercriminalit\u00e9 ou obtenues via des logiciels malveillants volant des informations tels que Lumma, MetaStealer, Raccoon, RedLine, RisePro et Vidar.  On pense que cela a commenc\u00e9 le 14 avril 2024.<\/p>\n<p>Dans plusieurs cas, les infections par des logiciels malveillants voleurs ont \u00e9t\u00e9 d\u00e9tect\u00e9es sur des syst\u00e8mes de sous-traitants qui \u00e9taient \u00e9galement utilis\u00e9s pour des activit\u00e9s personnelles, telles que les jeux et le t\u00e9l\u00e9chargement de logiciels pirat\u00e9s, ce dernier \u00e9tant un canal \u00e9prouv\u00e9 pour la distribution des voleurs.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718142889_103_Snowflake-Breach-expose-les-donnees-de-165-clients-dans-le.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718142889_103_Snowflake-Breach-expose-les-donnees-de-165-clients-dans-le.png\" alt=\"Flocon de neige\" border=\"0\" data-original-height=\"552\" data-original-width=\"728\" title=\"Flocon de neige\"\/><\/a><\/div>\n<p>Il a \u00e9t\u00e9 constat\u00e9 que l&#8217;acc\u00e8s non autoris\u00e9 aux instances client ouvrait la voie \u00e0 un utilitaire de reconnaissance baptis\u00e9 FROSTBITE (alias &#8220;rapeflake&#8221;), utilis\u00e9 pour ex\u00e9cuter des requ\u00eates SQL et glaner des informations sur les utilisateurs, les r\u00f4les actuels, les adresses IP actuelles, les identifiants de session et les noms d&#8217;organisation. .<\/p>\n<p>Mandiant a d\u00e9clar\u00e9 qu&#8217;il n&#8217;\u00e9tait pas en mesure d&#8217;obtenir un \u00e9chantillon complet de FROSTBITE, la soci\u00e9t\u00e9 mettant \u00e9galement en lumi\u00e8re l&#8217;utilisation par l&#8217;acteur malveillant d&#8217;un utilitaire l\u00e9gitime appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/dbeaver.com\/dbeaver-ultimate\/\" target=\"_blank\">DBeaver ultime<\/a> pour connecter et ex\u00e9cuter des requ\u00eates SQL sur les instances Snowflake.  La derni\u00e8re \u00e9tape de l\u2019attaque implique que l\u2019adversaire ex\u00e9cute des commandes pour stocker et exfiltrer les donn\u00e9es.<\/p>\n<p>Flocon de neige, dans un <a rel=\"nofollow noopener\" href=\"https:\/\/community.snowflake.com\/s\/question\/0D5VI00000Emyl00AB\/detecting-and-preventing-unauthorized-user-access\" target=\"_blank\">avis mis \u00e0 jour<\/a>, a d\u00e9clar\u00e9 qu&#8217;il travaillait en \u00e9troite collaboration avec ses clients pour renforcer leurs mesures de s\u00e9curit\u00e9.  Il a \u00e9galement d\u00e9clar\u00e9 qu&#8217;il \u00e9laborait un plan pour les obliger \u00e0 mettre en \u0153uvre des contr\u00f4les de s\u00e9curit\u00e9 avanc\u00e9s, comme l&#8217;authentification multifacteur (MFA) ou des politiques de r\u00e9seau.<\/p>\n<p>Ces attaques, a soulign\u00e9 Mandiant, ont connu un \u00e9norme succ\u00e8s pour trois raisons principales\u00a0: un manque d&#8217;authentification multifacteur (MFA), l&#8217;absence de rotation p\u00e9riodique des informations d&#8217;identification et l&#8217;absence de contr\u00f4les pour garantir l&#8217;acc\u00e8s uniquement \u00e0 partir d&#8217;emplacements fiables.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;La premi\u00e8re date d&#8217;infection par un infostealer observ\u00e9e associ\u00e9e \u00e0 un identifiant exploit\u00e9 par l&#8217;acteur malveillant remontait \u00e0 novembre 2020&#8221;, a d\u00e9clar\u00e9 Mandiant, ajoutant qu&#8217;elle &#8220;a identifi\u00e9 des centaines d&#8217;identifiants de clients Snowflake expos\u00e9s via des infostealers depuis 2020&#8221;.<\/p>\n<p>&#8220;Cette campagne met en \u00e9vidence les cons\u00e9quences de la circulation d&#8217;un grand nombre d&#8217;informations d&#8217;identification sur le march\u00e9 des voleurs d&#8217;informations et peut \u00eatre repr\u00e9sentative d&#8217;une concentration sp\u00e9cifique des acteurs de la menace sur des plates-formes SaaS similaires.&#8221;<\/p>\n<p>Les r\u00e9sultats servent \u00e0 souligner la demande croissante du march\u00e9 pour les voleurs d&#8217;informations et la menace omnipr\u00e9sente qu&#8217;ils repr\u00e9sentent pour les organisations, entra\u00eenant l&#8217;\u00e9mergence r\u00e9guli\u00e8re de nouvelles variantes de voleurs comme <a rel=\"nofollow noopener\" href=\"https:\/\/www.seqrite.com\/blog\/unmasking-asukastealer-the-80-malware-threatening-your-digital-security\/\" target=\"_blank\">AsukaVoleur<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.intego.com\/mac-security-blog\/intego-discovers-new-cuckoo-mac-malware-mimicking-homebrew\/\" target=\"_blank\">Coucou<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.cyfirma.com\/research\/iluria-stealer-a-variant-of-another-discord-stealer\/\" target=\"_blank\">Ilurie<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/isc.sans.edu\/diary\/rss\/30972\" target=\"_blank\">k1w1<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.cyfirma.com\/research\/samsstealer-unveiling-the-information-stealer-targeting-windows-systems\/\" target=\"_blank\">SamsStealer<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/flashpoint.io\/blog\/understanding-seidr-infostealer-malware\/\" target=\"_blank\">Seidr<\/a> qui sont propos\u00e9s \u00e0 la vente \u00e0 d\u2019autres acteurs criminels.<\/p>\n<p>&#8220;En f\u00e9vrier, Sultan, le nom derri\u00e8re le malware Vidar, a partag\u00e9 une image montrant les voleurs Lumma et Raccoon, repr\u00e9sent\u00e9s ensemble en train de lutter contre des solutions antivirus&#8221;, Cyfirma <a rel=\"nofollow noopener\" href=\"https:\/\/www.cyfirma.com\/research\/vidar-stealer-an-in-depth-analysis-of-an-information-stealing-malware\/\" target=\"_blank\">dit<\/a> dans une analyse r\u00e9cente.  &#8220;Cela sugg\u00e8re une collaboration entre les acteurs de la menace, alors qu&#8217;ils unissent leurs forces et partagent leurs infrastructures pour atteindre leurs objectifs.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/snowflake-breach-exposes-165-customers.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 juin 2024\ue804R\u00e9dactionVol de donn\u00e9es\/s\u00e9curit\u00e9 du cloud Pas moins de 165 clients de Snowflake auraient vu leurs informations potentiellement expos\u00e9es dans le cadre d&#8217;une campagne en cours con\u00e7ue pour faciliter le vol et l&#8217;extorsion de donn\u00e9es, ce qui indique que l&#8217;op\u00e9ration a des implications plus larges qu&#8217;on ne le pensait auparavant. Mandiant, propri\u00e9t\u00e9 de Google, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1195184,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,44969,4176,2930,8004,4168,1297,4165,4161,200267,429,18253,1343,1326,16209,4159,4171,65,200271,200268,200269,200270,128318,4172,4169,172088,4166,4164],"class_list":["post-1195183","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-breach","tag-cadre","tag-campagne","tag-clients","tag-comment-pirater","tag-cours","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dans","tag-dextorsion","tag-donnees","tag-dune","tag-expose","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-snowflake","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1195183","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1195183"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1195183\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1195184"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1195183"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1195183"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1195183"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}