Cloud computing- en analysebedrijf Snowflake zei dat een “beperkt aantal” van zijn klanten is uitgekozen als onderdeel van een gerichte campagne.
“We hebben geen bewijs gevonden dat suggereert dat deze activiteit werd veroorzaakt door een kwetsbaarheid, verkeerde configuratie of inbreuk op het Snowflake-platform”, aldus het bedrijf in een gezamenlijke verklaring samen met CrowdStrike en Mandiant, eigendom van Google.
“We hebben geen bewijs gevonden dat erop wijst dat deze activiteit werd veroorzaakt door gecompromitteerde inloggegevens van huidig of voormalig Snowflake-personeel.”
Verder wordt gezegd dat de activiteit gericht is tegen gebruikers met single-factor authenticatie, waarbij de niet-geïdentificeerde bedreigingsactoren gebruik maken van inloggegevens die eerder zijn gekocht of verkregen via informatiestelende malware.
“Bedreigingsactoren brengen actief de huurders van Snowflake-klanten van organisaties in gevaar door gebruik te maken van gestolen inloggegevens die zijn verkregen door het stelen van malware en het inloggen op databases die zijn geconfigureerd met authenticatie met één factor”, zei Mandiant CTO Charles Carmakal in een bericht op LinkedIn.
Snowflake dringt er ook bij organisaties op aan om multi-factor authenticatie (MFA) in te schakelen en netwerkverkeer alleen vanaf vertrouwde locaties te beperken.
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft organisaties in een waarschuwing van maandag aanbevolen de richtlijnen van Snowflake te volgen om te zoeken naar tekenen van ongebruikelijke activiteit en stappen te ondernemen om ongeoorloofde gebruikerstoegang te voorkomen.
Een soortgelijk advies van het Australian Cyber Security Centre (ACSC) van het Australian Signals Directorate waarschuwde voor “succesvolle compromissen van verschillende bedrijven die gebruik maken van Snowflake-omgevingen.”
Enkele van de indicatoren omvatten kwaadaardige verbindingen die afkomstig zijn van clients die zichzelf identificeren als 'rapeflake' en 'DBeaver_DBeaverUltimate'.
De ontwikkeling komt dagen nadat het bedrijf heeft erkend dat het een piek heeft waargenomen in kwaadwillige activiteiten gericht op klantaccounts op zijn clouddataplatform.
Hoewel een rapport van cyberbeveiligingsbedrijf Hudson Rock eerder suggereerde dat de inbreuk op Ticketmaster en Santander Bank mogelijk het gevolg was van bedreigingsactoren die de gestolen inloggegevens van een Snowflake-werknemer gebruikten, is het sindsdien verwijderd, onder verwijzing naar een brief die het van de juridisch adviseur van Snowflake heeft ontvangen.
Het is momenteel niet bekend hoe de informatie van de twee bedrijven – die beide Snowflake-klanten zijn – werd gestolen. ShinyHunters, de persoon die de verantwoordelijkheid opeiste voor de dubbele inbreuken op de nu herrezen BreachForums, vertelde DataBreaches.net dat de uitleg van Hudson Rock onjuist was en dat het ‘desinformatie’ was.
“Infostealers vormen een aanzienlijk probleem – het heeft botnets etc. in de echte wereld al lang voorbijgestreefd – en de enige echte oplossing is robuuste multi-factor authenticatie”, aldus onafhankelijk beveiligingsonderzoeker Kevin Beaumont. Er wordt aangenomen dat een tienercriminaliteitsgroep achter het incident zit.
