.
É possível que os hackers do ShinyHunter não tenham hackeado diretamente o funcionário do EPAM e simplesmente tenham obtido acesso às contas do Snowflake usando nomes de usuário e senhas obtidos de repositórios antigos de credenciais roubadas por ladrões de informações. Mas, como aponta Reddington, isso significa que qualquer outra pessoa pode vasculhar esses repositórios em busca dessas e de outras credenciais roubadas de contas EPAM. Reddington diz que encontraram dados online que foram usados por nove infostealers diferentes para coletar dados das máquinas dos trabalhadores da EPAM. Isto levanta potenciais preocupações sobre a segurança dos dados pertencentes a outros clientes EPAM.
A EPAM tem clientes em vários setores críticos, incluindo bancos e outros serviços financeiros, saúde, redes de transmissão, produtos farmacêuticos, energia e outros serviços públicos, seguros e software e alta tecnologia – os últimos clientes incluem Microsoft, Google, Adobe e Amazon Web Serviços. Não está claro, entretanto, se alguma dessas empresas possui contas Snowflake às quais os funcionários da EPAM têm acesso. A WIRED também não conseguiu confirmar se Ticketmaster, Santander, Lending Tree ou Advance AutoParts são clientes EPAM.
A campanha Snowflake também destaca os crescentes riscos de segurança de empresas terceirizadas em geral e de infostealers. Em sua postagem no blog desta semana, a Mandiant sugeriu que vários contratantes foram violados para obter acesso às contas Snowflake, observando que os contratantes – muitas vezes conhecidos como empresas de terceirização de processos de negócios (BPO) – são uma mina de ouro em potencial para hackers, porque comprometer a máquina de um O contratante que tem acesso às contas de vários clientes pode conceder-lhes acesso direto a muitas contas de clientes.
“Os contratados que os clientes contratam para ajudar no uso do Snowflake podem utilizar laptops pessoais e/ou não monitorados que exacerbam esse vetor de entrada inicial”, escreveu a Mandiant em sua postagem no blog. “Esses dispositivos, frequentemente usados para acessar os sistemas de múltiplas organizações, apresentam um risco significativo. Se comprometido por malware infostealer, o laptop de um único contratante pode facilitar o acesso dos atores da ameaça em várias organizações, muitas vezes com privilégios de TI e de administrador.”
A empresa também destacou o risco crescente dos infostealers, observando que a maioria das credenciais que os hackers usaram na campanha Snowflake vieram de repositórios de dados anteriormente roubados por várias campanhas de infostealers, algumas das quais datadas de 2020. “A Mandiant identificou centenas das credenciais de clientes Snowflake expostas por meio de infostealers desde 2020”, observou a empresa.
Isso, acompanhado pelo fato de que as contas alvo do Snowflake não usaram MFA para protegê-las ainda mais, tornou possíveis as violações nesta campanha, observa Mandiant.
O CISO da Snowflake, Brad Jones, reconheceu na semana passada que a falta de autenticação multifatorial possibilitou as violações. Em um telefonema esta semana, Jones disse à WIRED que a Snowflake está trabalhando para dar a seus clientes a capacidade de exigir que os usuários de suas contas utilizem autenticação multifatorial daqui para frente, “e então estaremos olhando no futuro para [make the] MFA padrão”, diz ele.
.
