Campanha de roubo de credenciais em grande escala tem como alvo o armazenamento em nuvem Snowflake
Um novo relatório da Mandiant revelou que aproximadamente 165 organizações foram afetadas por uma campanha em grande escala que explora credenciais roubadas de clientes para atingir os sistemas de armazenamento em nuvem Snowflake. A campanha é atribuída a um ator de ameaça com motivação financeira identificado como UNC5537.
Table of Contents
Como o ataque se desenrolou
O UNC5537 comprometeu centenas de instâncias do Snowflake usando credenciais de clientes que foram roubadas por malware infostealer. Este malware infectou sistemas que não pertencem à Snowflake, resultando em acesso não autorizado às contas dos clientes.
A investigação da Mandiant não encontrou nenhuma evidência de violação no ambiente empresarial da Snowflake. Em vez disso, cada incidente foi rastreado até credenciais de clientes comprometidas. Os ataques começaram em 14 de abril, visando contas sem proteções adequadas de autenticação multifator (MFA). Algumas dessas credenciais foram roubadas anos atrás.
Fonte das credenciais comprometidas
De acordo com a Mandiant, a maioria das credenciais usadas pelo UNC5537 vieram de infecções históricas por infostealer que datam de 2020. O malware usado para roubar essas credenciais incluía Lumma, Meta, Racoon Stealer, Redline, Risepro e Vidar. Alguns sistemas de prestadores de serviços, utilizados tanto para atividades profissionais quanto pessoais, também foram infectados.
Vulnerabilidades exploradas
As instâncias comprometidas do Snowflake não tinham MFA, usavam credenciais expostas há muito tempo que não haviam sido rotacionadas e não tinham listas de permissões de rede. Aproximadamente 80% das contas tiveram exposição prévia de credenciais.
O UNC5537 acessou as contas de clientes comprometidas por meio de várias ferramentas, incluindo a interface de usuário nativa baseada na web, a ferramenta de linha de comando SnowSQL, um utilitário personalizado chamado 'rapeflake' (também conhecido como FrostBite) e a ferramenta de gerenciamento de banco de dados DBeaver Ultimate. O ator da ameaça executou comandos SQL para reconhecimento e exfiltração de dados.
Impacto e consequências
O UNC5537 tem como alvo centenas de organizações em todo o mundo, exfiltrando quantidades significativas de dados que usaram para extorquir organizações vítimas. O grupo está tentando ativamente vender dados roubados em fóruns de cibercriminosos. Os membros do UNC5537 operam principalmente na América do Norte, com um membro na Turquia, e alguns estão ligados a outros grupos de ameaças conhecidos.
Implicações mais amplas
Mandiant enfatizou que o impacto generalizado desta campanha não se deve a nenhuma ferramenta particularmente nova ou sofisticada, mas é antes uma consequência da expansão do mercado de infostealers e das oportunidades perdidas para garantir melhor as credenciais. Vítimas de destaque citadas na campanha incluem Ticketmaster , Banco Santander, Anheuser-Busch, Allstate, Advance Auto Parts, Mitsubishi, Neiman Marcus, Progressive e State Farm.
