Se cree que un grupo criminal de adolescentes está detrás del incidente
La empresa de análisis y computación en la nube Snowflake dijo que un "número limitado" de sus clientes han sido seleccionados como parte de una campaña específica.
"No hemos identificado evidencia que sugiera que esta actividad fue causada por una vulnerabilidad, mala configuración o violación de la plataforma de Snowflake", dijo la compañía en un comunicado conjunto junto con CrowdStrike y Mandiant, propiedad de Google.
"No hemos identificado evidencia que sugiera que esta actividad fue causada por credenciales comprometidas del actual o anterior personal de Snowflake".
Dijo además que la actividad está dirigida contra usuarios con autenticación de un solo factor, y los actores de amenazas no identificados aprovechan las credenciales previamente compradas u obtenidas a través de malware de robo de información.
"Los actores de amenazas están comprometiendo activamente a los inquilinos de los clientes de Snowflake de las organizaciones mediante el uso de credenciales robadas obtenidas mediante el robo de información de malware y el inicio de sesión en bases de datos que están configuradas con autenticación de un solo factor", dijo el CTO de Mandiant, Charles Carmakal, en una publicación en LinkedIn.
Snowflake también insta a las organizaciones a habilitar la autenticación multifactor (MFA) y limitar el tráfico de red solo desde ubicaciones confiables.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), en una alerta emitida el lunes, recomendó a las organizaciones seguir las pautas descritas por Snowflake para buscar signos de actividad inusual y tomar medidas para evitar el acceso de usuarios no autorizados.
Un aviso similar del Centro Australiano de Seguridad Cibernética (ACSC) de la Dirección de Señales de Australia advirtió sobre "compromisos exitosos de varias empresas que utilizan entornos Snowflake".
Algunos de los indicadores incluyen conexiones maliciosas que se originan en clientes que se identifican como "rapeflake" y "DBeaver_DBeaverUltimate".
El desarrollo se produce días después de que la compañía reconociera que había observado un aumento en la actividad maliciosa dirigida a las cuentas de los clientes en su plataforma de datos en la nube.
Si bien un informe de la firma de ciberseguridad Hudson Rock implicaba anteriormente que la violación de Ticketmaster y el Banco Santander puede haber surgido de actores de amenazas que utilizaron las credenciales robadas de un empleado de Snowflake, desde entonces ha sido eliminado, citando una carta que recibió del asesor legal de Snowflake.
Actualmente no se sabe cómo se robó la información de las dos empresas, que son clientes de Snowflake. ShinyHunters, la persona que se atribuyó la responsabilidad de las infracciones gemelas en los ahora resucitados BreachForums, dijo a DataBreaches.net que la explicación de Hudson Rock era incorrecta y que es "desinformación".
"Los ladrones de información son un problema importante; hace tiempo que han superado a las botnets, etc. en el mundo real, y la única solución real es la autenticación multifactor robusta", dijo el investigador de seguridad independiente Kevin Beaumont. Se cree que un grupo criminal de adolescentes está detrás del incidente.