Diz-se que cerca de 165 clientes da Snowflake tiveram as suas informações potencialmente expostas como parte de uma campanha em curso destinada a facilitar o roubo de dados e a extorsão, indicando que a operação tem implicações mais amplas do que se pensava anteriormente.
A Mandiant, de propriedade do Google, que está auxiliando a plataforma de armazenamento de dados em nuvem em seus esforços de resposta a incidentes, está rastreando o cluster de atividades ainda não classificado sob o nome UNC5537descrevendo-o como um ator de ameaça com motivação financeira.
“UNC5537 está comprometendo sistematicamente instâncias de clientes Snowflake usando credenciais de clientes roubadas, anunciando dados de vítimas para venda em fóruns de crimes cibernéticos e tentando extorquir muitas das vítimas”, disse a empresa de inteligência de ameaças na segunda-feira.
“UNC5537 tem como alvo centenas de organizações em todo o mundo e frequentemente extorque vítimas para obter ganhos financeiros. UNC5537 opera sob vários pseudônimos em canais de Telegram e fóruns de crimes cibernéticos.”
Há evidências que sugerem que o grupo de hackers é composto por membros baseados na América do Norte. Acredita-se também que colabore com pelo menos uma parte adicional baseada na Turquia.
Esta é a primeira vez que o número de clientes afetados é divulgado oficialmente. Anteriormente, a Snowflake havia notado que um “número limitado” de seus clientes foi afetado pelo incidente. A empresa tem mais de 9.820 clientes globais.
A campanha, conforme descrito anteriormente por Snowflake, decorre de credenciais de clientes comprometidas compradas em fóruns de crimes cibernéticos ou obtidas por meio de malware que rouba informações, como Lumma, MetaStealer, Raccoon, RedLine, RisePro e Vidar. Acredita-se que tenha começado em 14 de abril de 2024.
Em vários casos, as infecções por malware ladrão foram detectadas em sistemas de terceiros que também eram usados para atividades pessoais, como jogos e obtain de software program pirata, sendo que este último tem sido um canal testado e aprovado para distribuição de ladrões.
Descobriu-se que o acesso não autorizado às instâncias do cliente abre caminho para um utilitário de reconhecimento denominado FROSTBITE (também conhecido como “rapeflake”), usado para executar consultas SQL e coletar informações sobre os usuários, funções atuais, IPs atuais, IDs de sessão e nomes de organizações. .
A Mandiant disse que não conseguiu obter uma amostra completa do FROSTBITE, com a empresa também destacando o uso pelo agente da ameaça de um utilitário legítimo chamado DBeaver Final para conectar e executar consultas SQL em instâncias do Snowflake. O estágio closing do ataque envolve a execução de comandos pelo adversário para preparar e exfiltrar dados.
A Snowflake, em um comunicado atualizado, disse que está trabalhando em estreita colaboração com seus clientes para reforçar suas medidas de segurança. A empresa também disse que está desenvolvendo um plano para exigir que implementem controles de segurança avançados, como autenticação multifator (MFA) ou políticas de rede.
Os ataques, apontou Mandiant, tiveram enorme sucesso devido a três razões principais: falta de autenticação multifator (MFA), não rotação periódica de credenciais e falta de verificações para garantir o acesso apenas a partir de locais confiáveis.
“A primeira knowledge de infecção por infostealer observada associada a uma credencial aproveitada pelo ator da ameaça knowledge de novembro de 2020”, disse Mandiant, acrescentando que “identificou centenas de credenciais de clientes Snowflake expostas por infostealers desde 2020”.
“Esta campanha destaca as consequências de grandes quantidades de credenciais que circulam no mercado de infostealers e pode ser representativa de um foco específico dos agentes de ameaças em plataformas SaaS semelhantes.”
As descobertas servem para sublinhar a crescente procura do mercado por ladrões de informação e a ameaça generalizada que representam para as organizações, resultando no surgimento common de novas variantes de ladrões como AsukaStealer, Cuckoo, Iluria, k1w1, SamsStealer e Seidr que são oferecidos para venda a outros atores criminosos.
“Em fevereiro, Sultan, o nome por trás do malware Vidar, compartilhou uma imagem dos ladrões Lumma e Raccoon, retratados juntos em combate contra soluções antivírus”, disse Cyfirma em uma análise recente. “Isso sugere colaboração entre os atores da ameaça, à medida que unem forças e compartilham infraestrutura para atingir seus objetivos”.
