Snowflake, en colaboración con CrowdStrike y Mandiant, informó sobre un ataque dirigido a un «número limitado» de sus clientes. La empresa afirmó que no hay pruebas de que la actividad esté relacionada con vulnerabilidades o malas configuraciones. Tampoco se encontraron pruebas de que las credenciales comprometidas de personal de Snowflake hayan causado esta actividad.
La empresa reveló que los atacantes buscan a usuarios con autenticación de un solo factor, aprovechando credenciales obtenidas a través de malware de robo de información. Charles Carmakal, CTO de Mandiant, advirtió que los atacantes están comprometiendo activamente los entornos de los clientes de Snowflake con credenciales robadas. Snowflake recomienda encarecidamente habilitar la autenticación multifactor (MFA) y restringir el tráfico de red a ubicaciones de confianza.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) emitió una alerta instando a seguir las pautas de Snowflake para buscar actividad inusual y prevenir el acceso no autorizado. El Centro Australiano de Ciberseguridad advirtió sobre compromisos exitosos en entornos Snowflake, mencionando indicadores como conexiones maliciosas originadas desde clientes identificados como «rapeflake» y «DBeaver_DBeaverUltimate».
Previo a esto, Snowflake había observado un incremento en actividad maliciosa dirigida a las cuentas de clientes. Un informe de Hudson Rock asoció la brecha de Ticketmaster y Santander Bank con credenciales robadas de un empleado de Snowflake, aunque luego fue retirado citando una carta legal. La identidad de los ciberdelincuentes sigue siendo desconocida. Investigadores de seguridad señalan la importancia de la autenticación multifactor sólida y señalan la posible participación de un grupo delictivo adolescente en el incidente.
Vía The Hacker News
