Campaña dirigida de robo de credenciales afecta a los clientes de la nube

La compañía de computación en la nube y análisis Snowflake dijo que un "número limitado" de sus clientes han sido señalados como parte de una campaña dirigida.

"No hemos identificado evidencia que sugiera que esta actividad fue causada por una vulnerabilidad, configuración incorrecta o violación de la plataforma de Snowflake", dijo la compañía en un comunicado conjunto junto con CrowdStrike y Mandiant, propiedad de Google.

"No hemos identificado evidencia que sugiera que esta actividad fue causada por credenciales comprometidas del personal actual o anterior de Snowflake".

Además, dijo que la actividad está dirigida contra los usuarios con autenticación de un solo factor, y que los actores de amenazas no identificados aprovechan las credenciales compradas u obtenidas previamente a través de malware que roba información.

"Los actores de amenazas están comprometiendo activamente a los inquilinos de los clientes de Snowflake de las organizaciones mediante el uso de credenciales robadas obtenidas mediante el robo de malware de información y el inicio de sesión en bases de datos que están configuradas con autenticación de un solo factor", dijo el CTO de Mandiant, Charles Carmakal, en una publicación en LinkedIn.

Snowflake también insta a las organizaciones a habilitar la autenticación multifactor (MFA) y limitar el tráfico de red solo desde ubicaciones confiables.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés), en una alerta emitida el lunes, recomendó a las organizaciones que sigan la guía descrita por Snowflake para buscar signos de actividad inusual y tomar medidas para evitar el acceso de usuarios no autorizados.

Un aviso similar del Centro Australiano de Seguridad Cibernética (ACSC) de la Dirección de Señales de Australia advirtió sobre "compromisos exitosos de varias empresas que utilizan entornos Snowflake".

Algunos de los indicadores incluyen conexiones maliciosas originadas por clientes que se identifican como "rapeflake" y "DBeaver_DBeaverUltimate".

El desarrollo se produce días después de que la compañía reconociera que ha observado un aumento en la actividad maliciosa dirigida a las cuentas de los clientes en su plataforma de datos en la nube.

Si bien un informe de la firma de ciberseguridad Hudson Rock insinuó anteriormente que la violación de Ticketmaster y Santander Bank puede haberse derivado de actores de amenazas que usaron las credenciales robadas de un empleado de Snowflake, desde entonces ha sido eliminado, citando una carta que recibió del asesor legal de Snowflake.

Actualmente no se sabe cómo se robó la información de las dos compañías, que son clientes de Snowflake. ShinyHunters, la persona que se atribuyó la responsabilidad de las violaciones gemelas en los ahora resucitados BreachForums, le dijo a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta que la explicación de Hudson Rock era incorrecta y que es "desinformación".

"Los ladrones de información son un problema importante, hace tiempo que superaron a las botnets, etc., en el mundo real, y la única solución real es la autenticación multifactor robusta", dijo el investigador de seguridad independiente Kevin Beaumont. Se cree que un grupo criminal adolescente está detrás del incidente.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta