El grupo de ciberdelincuentes detrás de la reciente brecha de seguridad que expuso datos de empresas clientes de Snowflake, identificado como UNC5537, utilizó credenciales de clientes robadas en anteriores campañas de ‘malware’ para robar «un volumen significativo de datos» y extorsionar a las víctimas.
Investigación de la brecha por Snowflake
El servicio de almacenamiento y análisis de datos en la nube Snowflake publicó a finales de mayo un comunicado en el que admitía estar investigando, junto con los expertos en ciberseguridad CrowdStrike y Mandiant, una campaña de amenazas dirigidas a algunas cuentas de sus clientes.
Alcance del compromiso
En este marco, la compañía aseguró que se habían comprometido «un número limitado» de estas cuentas, aunque no detalló exactamente cuáles. Además, matizó que no encontraron indicios de que la actividad maliciosa fuese causada por una vulnerabilidad o violación de su plataforma ni que hubiera evidencias de que el incidente fuese ocasionado por contraseñas comprometidas del personal actual o anterior de la plataforma.
Uso de autenticación de un solo factor
Asimismo, la firma determinó que «parecía una campaña dirigida a usuarios con autenticación de un solo factor» -es decir, que no contaban con autenticación multifactor (MFA)- y que los actores maliciosos habrían aprovechado credenciales previamente compradas u obtenidas mediante un ‘ransomware’.
Credenciales filtradas
Más tarde se identificaron más de 500 credenciales de inicio de sesión filtradas ‘online’, que presuntamente pertenecen a clientes de Snowflake. Entre ellos estarían las firmas Ticketmaster y el Banco Santander, que también comunicaron recientemente un incidente de seguridad de «acceso no autorizado».
Ahora, la firma de ciberseguridad Mandiant ha compartido algunos hallazgos sobre la campaña de amenazas dirigida a bases de datos de clientes de Snowflake y ha comentado que se trata de un grupo de ciberdelincuentes que actúan con la intención de robar datos y utilizarlos para extorsionar a las víctimas.
UNC5537: Identificación y Modus Operandi
Tal y como ha explicado en un comunicado en su blog, el ataque se ha atribuido a un grupo de actividad maliciosa identificado como UNC5537, que se compone de ciberdelincuentes de América del Norte y de Turquía. Asimismo, los investigadores han puntualizado que se trata de un actor de amenazas con motivación financiera, que ha robado «un volumen significativo» de los registros de los entornos de los clientes de Snowflake.
El modus operandi del grupo UNC5537 es comprometer sistemáticamente las instancias de las víctimas utilizando credenciales de clientes robadas y, tras ello, anunciar la venta de estos datos en foros de ciberdelincuencia para chantajear a las víctimas y amenazarles con publicar esta información si no se les paga una cantidad concreta de dinero.
Contraseñas Desactualizadas
Como resultado a esta campaña, la compañía de ciberseguridad ha trasladado en este documento que se han identificado alrededor de 165 clientes de Snowflake que pueden haber sido afectados por la campaña maliciosa o cuyos datos están «potencialmente expuestos».
Orígenes de las Credenciales Robadas
No obstante, Mandiant ha reiterado que, en el marco de sus pesquisas, no han encontrado ninguna evidencia que sugiera que el acceso no autorizado a las cuentas de los clientes de Snowflake fuese provocado por una violación del entorno empresarial de la compañía.
Incidentes de ‘Ransomware’ y Falta de MFA
De hecho, ha asegurado que todos los incidentes encontrados se remontan a credenciales de clientes comprometidas. Estas se obtuvieron principalmente de múltiples campañas de ‘ransomware’ que «infectaron sistemas que no eran propiedad de Snowflake«. Entre estas campañas, se encuentran algunas como VIDAR, RACCON STEALER, LUMMA y METASTEALER.
Años de Claves Desactualizadas
La mayoría de estas contraseñas formaban parte de otros ataques de robo de información e, incluso, algunas databan del año 2020. Igualmente, las claves no estaban configuradas con la autenticación multifactor habilitada y, ni siquiera habían sido actualizadas en estos años.
Conclusión de Mandiant
Mandiant ha concluido que la campaña de ataques del grupo UNC5537 contra clientes de Snowflake «no es el resultado de ninguna herramienta, técnica o procedimiento particularmente novedoso o sofisticado», sino que es consecuencia del «creciente mercado de robo de información».
Primeros Avistamientos de Acceso No Autorizado
Asimismo, ha indicado que sus expertos tuvieron conocimiento de estos ataques por primera vez en abril, cuando se identificó la primera evidencia de acceso no autorizado al entorno de un cliente de Snowflake que no ha sido identificado.
Comunicación y Prevención
Ya en mayo, Mandiant se comunicó con Snowflake para informarle sobre una campaña más amplia dirigida a clientes del servicio de almacenamiento en la nube y comenzó a notificar a las víctimas potenciales a través de su Programa de notificación a víctimas.
Acciones de Snowflake
Desde Snowflake han indicado que continúan trabajando «estrechamente» con sus clientes para reducir las amenazas cibernéticas a sus negocios y que están desarrollando un plan para exigir a los clientes que implementen controles de seguridad avanzados, tal y como han apuntado en una actualización del comunicado en su blog.