Campaña de robo de credenciales a gran escala tiene como objetivo el almacenamiento en la nube de Snowflake
Un nuevo informe de Mandiant ha revelado que aproximadamente 165 organizaciones se han visto afectadas por una campaña a gran escala que explota las credenciales de clientes robadas para apuntar a los sistemas de almacenamiento en la nube Snowflake. La campaña se atribuye a un actor de amenazas con motivación financiera identificado como UNC5537.
Table of Contents
Cómo se desarrolló el ataque
UNC5537 ha comprometido cientos de instancias de Snowflake mediante el uso de credenciales de clientes que fueron robadas mediante malware de robo de información. Este malware infectó sistemas que no son propiedad de Snowflake, lo que provocó un acceso no autorizado a las cuentas de los clientes.
La investigación de Mandiant no encontró evidencia de una violación en el entorno empresarial de Snowflake. En cambio, cada incidente se remonta a credenciales de clientes comprometidas. Los ataques comenzaron el 14 de abril y se dirigieron a cuentas sin las protecciones adecuadas de autenticación multifactor (MFA). Algunas de estas credenciales fueron robadas hace años.
Fuente de las credenciales comprometidas
Según Mandiant, la mayoría de las credenciales utilizadas por UNC5537 provinieron de infecciones históricas de robo de información que se remontan a 2020. El malware utilizado para robar estas credenciales incluía Lumma, Meta, Racoon Stealer, Redline, Risepro y Vidar. También resultaron infectados algunos sistemas de contratistas, utilizados tanto para actividades profesionales como personales.
Vulnerabilidades explotadas
Las instancias comprometidas de Snowflake carecían de MFA, utilizaban credenciales expuestas durante mucho tiempo que no habían sido rotadas y no tenían listas de permitidos de red. Aproximadamente el 80% de las cuentas tenían exposición previa de credenciales.
UNC5537 accedió a las cuentas de clientes comprometidas a través de varias herramientas, incluida la interfaz de usuario nativa basada en web, la herramienta de línea de comandos SnowSQL, una utilidad personalizada llamada 'rapeflake' (también conocida como FrostBite) y la herramienta de administración de bases de datos DBeaver Ultimate. El actor de amenazas ejecutó comandos SQL para reconocimiento y filtración de datos.
Impacto y consecuencias
UNC5537 se ha dirigido a cientos de organizaciones en todo el mundo, extrayendo cantidades significativas de datos que han utilizado para extorsionar a las organizaciones víctimas. El grupo intenta activamente vender datos robados en foros de ciberdelincuentes. Los miembros de UNC5537 operan principalmente en América del Norte, un miembro en Turquía y algunos están vinculados a otros grupos de amenazas conocidos.
Implicaciones más amplias
Mandiant enfatizó que el impacto generalizado de esta campaña no se debe a ninguna herramienta particularmente novedosa o sofisticada, sino más bien una consecuencia de la expansión del mercado de robo de información y de las oportunidades perdidas para asegurar mejor las credenciales. Las víctimas de alto perfil nombradas en la campaña incluyen Ticketmaster , Santander Bank, Anheuser-Busch, Allstate, Advance Auto Parts, Mitsubishi, Neiman Marcus, Progressive y State Farm.
