A empresa de cloud computing e análise de dados Snowflake informou que um "número limitado" de seus clientes foi alvo de uma campanha direcionada.
"Não identificamos evidências sugerindo que esta atividade foi causada por uma vulnerabilidade, má configuração ou violação da plataforma da Snowflake," disse a empresa em um comunicado conjunto com a CrowdStrike e a Mandiant, pertencente ao Google.
Não identificamos evidências sugerindo que esta atividade foi causada por credenciais comprometidas de pessoal atual ou anterior da Snowflake.
A empresa acrescentou que a atividade é direcionada contra usuários com autenticação de único fator, com os atores de ameaça não identificados se aproveitando de credenciais previamente compradas ou obtidas através de malware de roubo de informações.
"Atores de ameaça estão ativamente comprometendo inquilinos de clientes da Snowflake usando credenciais roubadas obtidas por malware de roubo de informações e fazendo login em bancos de dados configurados com autenticação de único fator," disse o CTO da Mandiant, Charles Carmakal, em uma publicação no LinkedIn.
A Snowflake também está instando as organizações a habilitar a autenticação de múltiplos fatores (MFA) e limitar o tráfego de rede apenas de locais confiáveis.
A Agência de Segurança da Infraestrutura e Cibersegurança dos EUA (CISA), em um alerta emitido na segunda-feira, recomendou que as organizações sigam as orientações delineadas pela Snowflake para procurar sinais de atividade incomum e tomar medidas para prevenir o acesso de usuários não autorizados.
Um aviso similar do Centro de Segurança Cibernética da Austrália (ACSC), da Diretoria de Sinais da Austrália, alertou sobre "comprometimentos bem-sucedidos de várias empresas utilizando ambientes Snowflake."
Alguns dos indicadores incluem conexões maliciosas originárias de clientes que se identificam como "rapeflake" e "DBeaver_DBeaverUltimate." O desenvolvimento ocorre dias depois que a empresa reconheceu ter observado um aumento na atividade maliciosa visando contas de clientes em sua plataforma de dados na nuvem.
Embora um relatório da empresa de cibersegurança Hudson Rock anteriormente implicasse que a violação da Ticketmaster e do Banco Santander pode ter sido decorrente de atores de ameaça usando credenciais roubadas de um funcionário da Snowflake, ele foi retirado posteriormente, citando uma carta recebida do conselho legal da Snowflake.
Atualmente, não se sabe como as duas empresas, que são clientes da Snowflake, tiveram suas informações roubadas.
ShinyHunters, a persona que reivindicou responsabilidade pelos dois vazamentos no agora ressurgido BreachForums, disse ao DataBreaches.net que a explicação da Hudson Rock estava incorreta e que é "desinformação".
"Infostealers são um problema significativo — há muito tempo superaram os botnets etc. no mundo real, e a única solução real é a robusta autenticação de múltiplos fatores," disse o pesquisador de segurança independente Kevin Beaumont.
Acredita-se que um grupo de crime juvenil esteja por trás do incidente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...