Van maar liefst 165 klanten van Snowflake wordt gezegd dat hun informatie mogelijk openbaar is gemaakt als onderdeel van een lopende campagne die is ontworpen om gegevensdiefstal en afpersing te vergemakkelijken, wat aangeeft dat de operatie bredere implicaties heeft dan eerder werd gedacht.
Mandiant, eigendom van Google, dat het clouddatawarehousingplatform assisteert bij zijn incidentresponsinspanningen, volgt het nog niet geclassificeerde activiteitencluster onder de naam UNC5537en beschrijft het als een financieel gemotiveerde dreigingsacteur.
“UNC5537 brengt systematisch Snowflake-klantinstanties in gevaar met behulp van gestolen klantgegevens, adverteert slachtoffergegevens te koop op cybercriminaliteitsforums en probeert veel van de slachtoffers af te persen”, zei het bedrijf voor bedreigingsinformatie maandag.
“UNC5537 heeft honderden organisaties over de hele wereld als doelwit genomen en vaak slachtoffers afgeperst voor financieel gewin. UNC5537 opereert onder verschillende aliassen op Telegram-kanalen en cybercriminaliteitsforums.”
Er zijn aanwijzingen dat de hackgroep bestaat uit leden uit Noord-Amerika. Er wordt ook aangenomen dat het samenwerkt met ten minste één extra partij in Turkije.
Het is de eerste keer dat het aantal getroffen klanten officieel bekend wordt gemaakt. Eerder had Snowflake opgemerkt dat een “beperkt aantal” klanten door het incident werd getroffen. Het bedrijf heeft meer dan 9.820 klanten wereldwijd.
De campagne, zoals eerder uiteengezet door Snowflake, komt voort uit gecompromitteerde klantgegevens die zijn gekocht op cybercriminaliteitsforums of zijn verkregen via informatiestelende malware zoals Lumma, MetaStealer, Raccoon, RedLine, RisePro en Vidar. Er wordt aangenomen dat het is begonnen op 14 april 2024.
In verschillende gevallen zijn de stealer-malwarebesmettingen gedetecteerd op systemen van aannemers die ook werden gebruikt voor persoonlijke activiteiten, zoals gamen en het downloaden van illegale software, waarvan de laatste een beproefd kanaal is geweest voor het verspreiden van stealers.
Er is vastgesteld dat de ongeautoriseerde toegang tot klantinstanties de weg vrijmaakt voor een verkenningshulpprogramma genaamd FROSTBITE (ook bekend als “rapeflake”) dat wordt gebruikt om SQL-query's uit te voeren en informatie te verzamelen over de gebruikers, huidige rollen, huidige IP's, sessie-ID's en organisatienamen .
Mandiant zei dat het er niet in is geslaagd een volledig voorbeeld van FROSTBITE te verkrijgen, waarbij het bedrijf ook aandacht besteedde aan het gebruik door de bedreigingsacteur van een legitiem hulpprogramma genaamd DBeaver Ultimate om verbinding te maken en SQL-query's uit te voeren op Snowflake-instanties. In de laatste fase van de aanval voert de tegenstander opdrachten uit om gegevens te ensceneren en te exfiltreren.
Snowflake zegt in een bijgewerkt advies dat het nauw samenwerkt met zijn klanten om hun beveiligingsmaatregelen te versterken. Het zei ook dat het een plan aan het ontwikkelen is om hen te verplichten geavanceerde beveiligingscontroles te implementeren, zoals multi-factor authenticatie (MFA) of netwerkbeleid.
De aanvallen, zo benadrukte Mandiant, zijn enorm succesvol geworden vanwege drie belangrijke redenen: gebrek aan multi-factor authenticatie (MFA), het niet periodiek wisselen van inloggegevens en het ontbreken van controles om alleen toegang vanaf vertrouwde locaties te garanderen.
“De vroegste infostealer-infectiedatum die werd waargenomen in verband met een inloggegevens die door de bedreigingsacteur waren gebruikt, dateerde van november 2020”, zei Mandiant, eraan toevoegend dat “honderden Snowflake-inloggegevens van klanten werden geïdentificeerd die sinds 2020 via infostealers waren vrijgegeven.”
“Deze campagne benadrukt de gevolgen van enorme hoeveelheden inloggegevens die op de infostealer-markt circuleren en kan representatief zijn voor een specifieke focus van bedreigingsactoren op vergelijkbare SaaS-platforms.”
De bevindingen onderstrepen de groeiende marktvraag naar informatiestelers en de alomtegenwoordige dreiging die deze vormen voor organisaties, resulterend in de regelmatige opkomst van nieuwe stealervarianten zoals AsukaStealer, Cuckoo, Iluria, k1w1, SamsStealer en Seidr die te koop worden aangeboden aan andere bedrijven. criminele acteurs.
“In februari deelde Sultan, de naam achter de Vidar-malware, een afbeelding van de Lumma- en Raccoon-stelers, samen afgebeeld in de strijd tegen antivirusoplossingen”, zei Cyfirma in een recente analyse. “Dit duidt op samenwerking tussen dreigingsactoren, omdat zij hun krachten bundelen en infrastructuur delen om hun doelen te bereiken.”