El grupo UNC5537, responsable de la brecha en Snowflake, usó credenciales robadas para obtener datos y extorsionar.
Snowflake, con la ayuda de CrowdStrike y Mandiant, investiga una campaña de amenazas desde finales de mayo.
Reconocen que un número limitado de cuentas se vio comprometido, pero no especificaron cuáles.
NO ENCONTRARON PRUEBAS DE VULNERABILIDAD
Snowflake no encontró pruebas de vulnerabilidad en su plataforma ni que el incidente estuviera relacionado con contraseñas comprometidas del personal.
Snowflake detectó una campaña dirigida a usuarios con autenticación de un solo factor. Los actores maliciosos aprovecharon credenciales obtenidas por ransomware o compradas previamente.
Más de 500 credenciales filtradas de inicio de sesión fueron identificadas online. Se incluyen clientes como Ticketmaster y Banco Santander.
EL OBJETIVO DE ROBAR DATOS Y EXTORSIONAR
Mandiant reveló detalles sobre la campaña, atribuyéndola al grupo UNC5537, ciberdelincuentes de América del Norte y Turquía.
Estos ataques tienen como objetivo robar datos y extorsionar a las víctimas.
Un grupo de ciberdelincuentes identificado como UNC5537 ha comprometido los registros de clientes de Snowflake. Los investigadores destacan que operan con motivación financiera.
SE VENDEN DATOS EN FOROS
Utilizan credenciales robadas para acceder a las cuentas de las víctimas.
Posteriormente, venden los datos en foros de ciberdelincuencia para chantajear a los afectados. Amenazan con publicar la información si no se les paga una suma específica de dinero.
CONTRASEÑAS DESACTUALIZADAS
Según la compañía de ciberseguridad, alrededor de 165 clientes de Snowflake podrían haber sido afectados o tener datos potencialmente expuestos.
Mandiant no ha encontrado evidencia de que la violación de las cuentas de Snowflake haya sido causada por una brecha en su entorno empresarial.
Todos los incidentes identificados se deben a credenciales de clientes comprometidas, obtenidas en ataques de ransomware como VIDAR, RACCONSTEALER, LUMMA y METASTEALER.
UN CRECIENTE MERCADO DE ROBO DE INFORMACIÓN
Muchas de estas contraseñas fueron utilizadas en otros ataques desde 2020 y algunas no tenían autenticación multifactor ni se actualizaron en años.
Según Mandiant, la campaña de ataques del grupo UNC5537 contra clientes de Snowflake no es resultado de técnicas particularmente sofisticadas, sino del creciente mercado de robo de información.
La primera evidencia de acceso no autorizado se identificó en abril, aunque el cliente afectado no ha sido nombrado.
MANDIANT NOTIFICÓ A POSIBLES VÍCTIMAS
En mayo, Mandiant informó a Snowflake sobre una campaña más amplia dirigida a clientes del servicio de almacenamiento en la nube.
En esta línea, comenzó a notificar a las posibles víctimas a través de su Programa de notificación a víctimas.
Snowflake está colaborando estrechamente con sus clientes para mitigar las amenazas cibernéticas y está desarrollando un plan para exigir controles de seguridad avanzados a sus clientes.
Fuente: EP.