El grupo de ciberdelincuentes detrás de la reciente brecha de seguridad que expuso datos de empresas clientes de Snowflake, identificado como UNC5537, utilizó credenciales de clientes robadas en anteriores campañas de malware para robar "un volumen significativo de datos" y extorsionar a las víctimas.
El servicio de almacenamiento y análisis de datos en la nube Snowflake publicó a finales de mayo un comunicado en el que admitía estar investigando, junto con los expertos en ciberseguridad CrowdStrike y Mandiant, una campaña de amenazas dirigidas a algunas cuentas de sus clientes.
En este marco, la compañía aseguró que se habían comprometido "un número limitado" de estas cuentas, aunque no detalló exactamente cuáles. Además, matizó que no encontraron indicios de que la actividad maliciosa fuese causada por una vulnerabilidad o violación de su plataforma ni que hubiera evidencias de que el incidente fuese ocasionado por contraseñas comprometidas del personal actual o anterior de la plataforma.
Asimismo, la firma determinó que "parecía una campaña dirigida a usuarios con autenticación de un solo factor" -es decir, que no contaban con autenticación multifactor (MFA)- y que los actores maliciosos habrían aprovechado credenciales previamente compradas u obtenidas mediante un ransomware.
Más tarde se identificaron más de 500 credenciales de inicio de sesión filtradas online, que presuntamente pertenecen a clientes de Snowflake. Entre ellos estarían las firmas Ticketmaster y el Banco Santander, que también comunicaron recientemente un incidente de seguridad de "acceso no autorizado".
Ahora, la firma de ciberseguridad Mandiant ha compartido algunos hallazgos sobre la campaña de amenazas dirigida a bases de datos de clientes de Snowflake y ha comentado que se trata de un grupo de ciberdelincuentes que actúan con la intención de robar datos y utilizarlos para extorsionar a las víctimas.
Tal y como ha explicado en un comunicado en su blog, el ataque se ha atribuido a un grupo de actividad maliciosa identificado como UNC5537, que se compone de ciberdelincuentes de América del Norte y de Turquía. Asimismo, los investigadores han puntualizado que se trata de un actor de amenazas con motivación financiera, que ha robado "un volumen significativo" de los registros de los entornos de los clientes de Snowflake.
El modus operandi del grupo UNC5537 es comprometer sistemáticamente las instancias de las víctimas utilizando credenciales de clientes robadas y, tras ello, anunciar la venta de estos datos en foros de ciberdelincuencia para chantajear a las víctimas y amenazarles con publicar esta información si no se les paga una cantidad concreta de dinero.
Contraseñas desactualizadas
Como resultado a esta campaña, la compañía de ciberseguridad ha trasladado en este documento que se han identificado alrededor de 165 clientes de Snowflake que pueden haber sido afectados por la campaña maliciosa o cuyos datos están "potencialmente expuestos".
No obstante, Mandiant ha reiterado que, en el marco de sus pesquisas, no han encontrado ninguna evidencia que sugiera que el acceso no autorizado a las cuentas de los clientes de Snowflake fuese provocado por una violación del entorno empresarial de la compañía.
De hecho, ha asegurado que todos los incidentes encontrados se remontan a credenciales de clientes comprometidas. Estas se obtuvieron principalmente de múltiples campañas de ransomware que "infectaron sistemas que no eran propiedad de Snowflake". Entre estas campañas, se encuentran algunas como VIDAR, RACCON STEALER, LUMMA Y METASTEALER.
La mayoría de estas contraseñas formaban parte de otros ataques de robo de información e, incluso, algunas databan del año 2020. Igualmente, las claves no estaban configuradas con la autenticación multifactor habilitada y, ni si quiera habían sido actualizadas en estos años.
Mandiant ha concluido que la campaña de ataques del grupo UNC5537 contra clientes de Snowflake "no es el resultado de ninguna herramienta, técnica o procedimiento particularmente novedoso o sofisticado", sino que es consecuencia del "creciente mercado de robo de información".
Asimismo, ha indicado que sus expertos tuvieron conocimiento de estos ataques por primera vez en abril, cuando se identificó la primera evidencia de acceso no autorizado al entorno de un cliente de Snowflake que no ha sido identificado.
Ya en mayo Mandiant se comunicó con Snowflake para informarle sobre una campaña más amplia dirigida a clientes del servicio de almacenamiento en la nube y comenzó a notificar a las víctimas potenciales a través de su Programa de notificación a víctimas.
Desde Snowflake han indicado que continúan trabajando "estrechamente" con sus clientes para reducir las amenazas cibernéticas a sus negocios y que están desarrollando un plan para exigir a los clientes que implementen controles de seguridad avanzados, tal y como ha apuntado en una actualización del comunicado en su blog.