Los investigadores de seguridad dicen que creen que los ciberdelincuentes con motivación financiera han robado un “volumen significativo de datos” de cientos de clientes que alojan sus vastos bancos de datos en el gigante del almacenamiento en la nube Snowflake.
La empresa de respuesta a incidentes Mandiant, que está trabajando con Snowflake para investigar la reciente serie de robos de datos, dijo en una publicación de blog el lunes que las dos empresas han notificado a unos 165 clientes que sus datos podrían haber sido robados.
Es la primera vez que se revela el número de clientes de Snowflake afectados desde que comenzaron los ataques a las cuentas en abril. Snowflake ha dicho poco hasta la fecha sobre los ataques, sólo que un “número limitado” de sus clientes se ven afectados. El gigante de los datos en la nube tiene más de 9.800 clientes corporativos, como organizaciones de atención médica, gigantes minoristas y algunas de las empresas tecnológicas más grandes del mundo, que utilizan Snowflake para análisis de datos.
Hasta ahora, sólo Ticketmaster y LendingTree han confirmado robos de datos donde sus datos robados estaban alojados en Snowflake. Varios otros clientes de Snowflake dicen que actualmente están investigando posibles robos de datos de sus entornos Snowflake.
Mandiant dijo que la campaña de amenazas está “en curso”, lo que sugiere que la cantidad de clientes corporativos de Snowflake que informan sobre robos de datos puede aumentar.
En su publicación de blog, Mandiant atribuyó los ataques a las cuentas a UNC5537, una banda de ciberdelincuentes aún no clasificada que, según la empresa de seguridad, está motivada por ganar dinero. La pandilla, que según Mandiant incluye miembros en América del Norte y al menos un miembro en Turquía, intenta extorsionar a sus víctimas para que paguen para recuperar sus archivos o evitar la divulgación pública de los datos de sus clientes.
Mandiant confirmó que los ataques, que se basan en el uso de “credenciales robadas para acceder a la instancia de Snowflake del cliente y, en última instancia, exfiltrar datos valiosos”, se remontan al menos al 14 de abril, cuando sus investigadores identificaron por primera vez evidencia de acceso inadecuado al entorno de un cliente de Snowflake no identificado. . Mandiant dijo que notificó a Snowflake sobre las intrusiones en las cuentas de sus clientes el 22 de mayo.
La firma de seguridad dijo que la mayoría de las credenciales robadas utilizadas por UNC5537 estaban “disponibles a partir de infecciones históricas de robo de información”, y algunas se remontan a 2020. Los hallazgos de Mandiant confirmar la divulgación limitada de Snowflakeque dijo que no hubo una violación directa de los propios sistemas de Snowflake, pero culpó a las cuentas de sus clientes por no utilizar la autenticación multifactor (MFA).
La semana pasada, TechCrunch encontró circulando en línea cientos de credenciales de clientes de Snowflake robadas por malware que infectó las computadoras de los empleados que tienen acceso al entorno Snowflake de su empleador. La cantidad de credenciales disponibles en línea vinculadas a entornos Snowflake sugiere un riesgo continuo para los clientes que aún no han cambiado sus contraseñas ni habilitado MFA.
Mandiant dijo que también ha visto “cientos de credenciales de Snowflake de clientes expuestas a través de ladrones de información”.
Por su parte, Snowflake no requiere que sus clientes utilicen de forma predeterminada ni impongan el uso de la función de seguridad. En una breve actualización del viernes, Snowflake dijo que está “desarrollando un plan” para imponer el uso de MFA en las cuentas de sus clientes, pero aún no ha proporcionado un cronograma.
La portavoz de Snowflake, Danica Stanczak, se negó a decir por qué la compañía no restableció las contraseñas de los clientes ni aplicó MFA. Snowflake no hizo comentarios de inmediato sobre la publicación del blog de Mandiant el lunes.
¿Sabe más sobre las intrusiones en las cuentas de Snowflake? Ponerse en contacto. Para contactar a este reportero, comuníquese por Signal y WhatsApp al +1 646-755-8849, o por correo electrónico. También puede enviar archivos y documentos a través de SecureDrop.