Snowflake, la plataforma líder en almacenamiento de datos en la nube, ha confirmado que los datos de hasta 165 de sus clientes han sido potencialmente expuestos en una campaña de extorsión en curso. Esta revelación indica que la operación tiene implicaciones más amplias de lo que se había informado anteriormente.
La empresa de seguridad Mandiant, propiedad de Google, está asistiendo a Snowflake en sus esfuerzos de respuesta a incidentes. Mandiant ha identificado al grupo de actividad no clasificado hasta ahora bajo el nombre UNC5537, describiéndolo como un actor de amenazas motivado por el lucro financiero.
UNC5537 ha estado comprometiendo sistemáticamente las instancias de clientes de Snowflake mediante el uso de credenciales robadas. Los datos de las víctimas han sido publicitados para su venta en foros de ciberdelincuencia, y muchas de las víctimas han sido objeto de intentos de extorsión. Este grupo ha dirigido sus ataques a cientos de organizaciones a nivel mundial y opera bajo varios alias en canales de Telegram y foros de ciberdelincuencia.
Se sospecha que los miembros del grupo se encuentran en América del Norte y colaboran con al menos una parte adicional ubicada en Turquía.
Esta es la primera vez que se divulga oficialmente el número de clientes afectados. Anteriormente, Snowflake había señalado que un «número limitado» de sus clientes se vio afectado por el incidente. La compañía cuenta con más de 9,820 clientes en todo el mundo.
La campaña, según se ha detallado previamente, se origina de credenciales de clientes comprometidas, adquiridas en foros de ciberdelincuencia o obtenidas mediante malware de robo de información como Lumma, MetaStealer, Raccoon, RedLine, RisePro y Vidar. Se cree que la campaña comenzó el 14 de abril de 2024.
En varios casos, se han detectado infecciones por malware de robo de información en sistemas de contratistas que también se utilizaban para actividades personales, como juegos y descarga de software pirateado.
El acceso no autorizado a las instancias de clientes ha permitido el uso de una herramienta de reconocimiento llamada FROSTBITE (también conocida como «rapeflake»), que se utiliza para ejecutar consultas SQL y obtener información sobre los usuarios, roles actuales, direcciones IP actuales, ID de sesiones y nombres de organizaciones.
Mandiant señaló que no ha podido obtener una muestra completa de FROSTBITE y destacó el uso de una utilidad legítima llamada DBeaver Ultimate para conectar y ejecutar consultas SQL en las instancias de Snowflake. La etapa final del ataque implica la ejecución de comandos para preparar y exfiltrar datos.
Snowflake, en un aviso actualizado, ha informado que está trabajando estrechamente con sus clientes para fortalecer sus medidas de seguridad y está desarrollando un plan para implementar controles de seguridad avanzados, como la autenticación multifactor (MFA) y políticas de red.
Los ataques han tenido éxito debido a tres razones principales: la falta de MFA, la no rotación periódica de credenciales y la ausencia de controles para garantizar el acceso solo desde ubicaciones de confianza.
«La fecha más temprana de infección por malware de robo de información observada, asociada con una credencial utilizada por el actor de amenazas, data de noviembre de 2020», dijo Mandiant, añadiendo que «se identificaron cientos de credenciales de clientes de Snowflake expuestas a través de malware de robo de información desde 2020».
Esta campaña resalta las consecuencias de la gran cantidad de credenciales circulando en el mercado de malware de robo de información y puede representar un enfoque específico de los actores de amenazas en plataformas SaaS similares.
