Hasta 165 clientes de Snowflake podrían haber sido afectados por una campaña de robo de datos y chantaje. Mandiant, propiedad de Google, está ayudando a la plataforma de almacenamiento de datos en la nube a responder a la actividad no clasificada bajo el nombre de UNC5537, considerado un actor de amenazas motivado financieramente.
El grupo UNC5537 está comprometiendo sistemáticamente las instancias de clientes de Snowflake utilizando credenciales robadas y vendiendo datos de las víctimas en foros de cibercrimen. También ha atacado a organizaciones en todo el mundo, operando bajo varios alias en canales de Telegram y foros de cibercrimen.
Se sospecha que el grupo de hackers tiene miembros en América del Norte y que colabora con al menos una parte adicional con base en Turquía. Snowflake, que cuenta con más de 9,820 clientes en todo el mundo, había indicado previamente que un «número limitado» de clientes se había visto afectado.
La campaña ha surgido de la compra de credenciales comprometidas en foros de cibercrimen o obtenidas a través de malware como Lumma, MetaStealer, Raccoon, RedLine, RisePro y Vidar. Se cree que comenzó el 14 de abril de 2024.
Infecciones de malware en sistemas de contratistas, que también se usaban para actividades personales, como juegos y descargas de software pirateado, se han convertido en un conducto probado para distribuir roba información.
El acceso no autorizado a las instancias de cliente ha allanado el camino para una utilidad de reconocimiento denominada FROSTBITE o «rapeflake», utilizada para ejecutar consultas SQL. Mandiant dijo que el actor de amenazas también utiliza una utilidad legítima, DBeaver Ultimate, para conectarse y ejecutar consultas SQL en las instancias de Snowflake.
Según Mandiant, la falta de autenticación de múltiples factores, no rotar las credenciales periódicamente y la ausencia de verificaciones para garantizar el acceso solo desde lugares de confianza han contribuido al éxito de los ataques. Snowflake está trabajando para fortalecer sus medidas de seguridad y desarrollando un plan para implementar controles de seguridad avanzados en colaboración con sus clientes.
Los hallazgos indican la creciente demanda de mercado y la amenaza generalizada que representan las campañas de roba información para las organizaciones. Nuevas variantes de roba información como AsukaStealer, Cuckoo, Iluria, k1w1, SamsStealer y Seidr se están ofreciendo a la venta a otros actores criminales.
Vía The Hacker News
