(https://i.postimg.cc/t4mgKf5b/Pure-Storage.png) (https://postimages.org/)
Pure Storage, un proveedor líder de sistemas y servicios de almacenamiento en la nube, confirmó el lunes que los atacantes violaron su espacio de trabajo Snowflake y obtuvieron acceso a lo que la compañía describe como información de telemetría.
Si bien la información expuesta también incluía nombres de clientes, nombres de usuario y direcciones de correo electrónico, no contenía credenciales para acceder a la matriz ni ningún otro dato almacenado en los sistemas de los clientes.
"Tras una investigación exhaustiva, Pure Storage confirmó y abordó un incidente de seguridad que involucraba a un tercero que había obtenido temporalmente acceso no autorizado a un único espacio de trabajo de análisis de datos de Snowflake", dijo la compañía de almacenamiento.
"El espacio de trabajo contenía información de telemetría que Pure utiliza para proporcionar servicios proactivos de atención al cliente. Esa información incluye nombres de empresas, nombres de usuario LDAP, direcciones de correo electrónico y el número de versión del software Purity".
Pure tomó medidas para evitar un mayor acceso no autorizado a su espacio de trabajo Snowflake y aún no ha encontrado evidencia de actividad maliciosa en otras partes de la infraestructura de su cliente.
"Actualmente estamos en contacto con clientes que tampoco han detectado actividad inusual dirigida a sus sistemas Pure", añadió la compañía.
Más de 11.000 clientes utilizan la plataforma de almacenamiento de datos de Pure Storage, incluidas empresas y organizaciones de alto perfil como Meta, Ford, JP Morgan, NASA, NTT, AutoNation, Equinix y Comcast.
Al menos 165 organizaciones probablemente se vean afectadas por los ataques de Snowflake
En un aviso conjunto con Mandiant y CrowdStrike, Snowflake reveló que los atacantes utilizan credenciales de clientes robadas para atacar cuentas que carecen de protección de autenticación multifactor.
Mandiant también vinculó los ataques de Snowflake con un actor de amenazas con motivación financiera rastreado como UNC5537 desde mayo de 2024.
El actor malicioso obtiene acceso a las cuentas de los clientes de Snowflake utilizando credenciales de clientes robadas en infecciones de malware con robo de información que se remontan a 2020, dirigidas a cientos de organizaciones en todo el mundo y extorsionando a las víctimas para obtener ganancias financieras.
"Las cuentas afectadas no estaban configuradas con la autenticación multifactor habilitada, lo que significa que la autenticación exitosa sólo requería un nombre de usuario y contraseña válidos", dijo Mandiant.
"Las credenciales identificadas en la salida del malware de robo de información aún eran válidas, en algunos casos años después de que fueron robadas, y no habían sido rotadas ni actualizadas. Las instancias de clientes de Snowflake afectadas no tenían listas de red permitidas para permitir el acceso solo desde ubicaciones confiables".
Hasta ahora, la empresa de ciberseguridad ha identificado cientos de credenciales de clientes Snowflake expuestas en ataques de malware de robo de información Vidar, RisePro, Redline, Racoon Stealer, Lumm y Metastealer.
Snowflake y Mandiant ya han notificado a unas 165 organizaciones potencialmente expuestas a estos ataques en curso.
Si bien Mandiant no ha revelado mucha información sobre UNC5537, BleepingComputer ha aprendido que son parte de una comunidad más grande de actores de amenazas que visitan con frecuencia los mismos sitios web, servidores de Telegram y Discord, donde colaboran regularmente en los ataques.
Las recientes infracciones en Santander, Ticketmaster y QuoteWizard/LendingTree también se han relacionado con estos ataques en curso de Snowflake. La empresa matriz de Ticketmaster, Live Nation, confirmó que una violación de datos afectó a la empresa de venta de entradas después de que su cuenta Snowflake se viera comprometida el 20 de mayo.
Un actor de amenazas ahora está vendiendo 3 TB de datos del proveedor de repuestos para automóviles Advance Auto Parts, que supuestamente incluyen 380 millones de perfiles de clientes y 44 millones de números de tarjetas de fidelidad/gas (con detalles del cliente), robados después de que se violara la cuenta Snowflake de la compañía.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/pure-storage-confirms-data-breach-after-snowflake-account-hack/