A empresa de computação e análise em nuvem Snowflake disse que um “número limitado” de seus clientes foi escolhido como parte de uma campanha direcionada.
“Não identificamos evidências que sugiram que esta atividade foi causada por uma vulnerabilidade, configuração incorreta ou violação da plataforma Snowflake”, disse a empresa em um comunicado conjunto com a CrowdStrike e a Mandiant, de propriedade do Google.
“Não identificamos evidências que sugiram que esta atividade foi causada por credenciais comprometidas de funcionários atuais ou antigos da Snowflake”.
Afirmou ainda que a atividade é dirigida contra usuários com autenticação de fator único, com os atores de ameaças não identificados aproveitando credenciais previamente adquiridas ou obtidas por meio de malware para roubo de informações.
“Os atores de ameaças estão comprometendo ativamente os locatários clientes Snowflake das organizações usando credenciais roubadas obtidas por malware de roubo de informações e login em bancos de dados configurados com autenticação de fator único”, disse o CTO da Mandiant, Charles Carmakal, em um submit no LinkedIn.
Snowflake também está incentivando as organizações a habilitar a autenticação multifator (MFA) e limitar o tráfego de rede apenas de locais confiáveis.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), em alerta emitido na segunda-feira, recomendou que as organizações sigam as orientações delineadas pela Snowflake para procurar sinais de atividades incomuns e tomar medidas para impedir o acesso não autorizado de usuários.
Um comunicado semelhante do Centro Australiano de Segurança Cibernética (ACSC) da Australian Indicators Directorate alertou sobre “comprometimentos bem-sucedidos de várias empresas que utilizam ambientes Snowflake”.
Alguns dos indicadores incluem conexões maliciosas originadas de clientes que se identificam como “rapeflake” e “DBeaver_DBeaverUltimate”.
O desenvolvimento ocorre dias depois de a empresa reconhecer que observou um aumento nas atividades maliciosas direcionadas a contas de clientes em sua plataforma de dados em nuvem.
Embora um relatório da empresa de segurança cibernética Hudson Rock tenha sugerido anteriormente que a violação da Ticketmaster e do Banco Santander pode ter resultado de agentes de ameaças usando credenciais roubadas de um funcionário da Snowflake, ele foi retirado desde então, citando uma carta que recebeu do consultor jurídico da Snowflake.
Atualmente não se sabe como as duas empresas – ambas clientes da Snowflake – tiveram suas informações roubadas. ShinyHunters, a pessoa que assumiu a responsabilidade pelas violações gêmeas no agora ressuscitado BreachForums, disse ao DataBreaches.internet que a explicação de Hudson Rock estava incorreta e que period “desinformação”.
“Os infostealers são um problema significativo – já ultrapassaram há muito tempo as botnets and many others. no mundo actual – e a única solução actual é a autenticação multifatorial robusta”, disse o pesquisador de segurança independente Kevin Beaumont. Acredita-se que um grupo criminoso adolescente esteja por trás do incidente.
