.
Pesquisadores de segurança estão relatando que um “volume significativo de dados” foi roubado de centenas de clientes de armazenamento em nuvem Snowflake por meio de credenciais de login comprometidas, com o incidente ligado a violações massivas de dados na Ticketmaster e no Banco Santander.
A Mandiant, uma empresa de segurança que investiga o roubo de dados junto com a Snowflake, anunciou na segunda-feira que rastreou a atividade até um “ator de ameaça com motivação financeira” identificado como UNC5537. As duas empresas notificaram pelo menos 165 organizações clientes da Snowflake que podem ter sido comprometidas desde que a atividade de ameaça em andamento foi descoberta em abril, com a Mandiant dizendo que sua investigação não encontrou “nenhuma evidência que sugira” que o ambiente corporativo da Snowflake foi violado.
Violações de dados recentes na Ticketmaster, no Santander Bank e na subsidiária da LendingTree, QuoteWizard, foram vinculadas às contas de armazenamento em nuvem Snowflake usadas pelas empresas. Os detalhes oficiais sobre como as contas foram comprometidas eram escassos até agora, com um relatório anterior de terceiros sendo colocado offline depois que Snowflake emitiu uma declaração alegando que a plataforma em si não é a culpada.
Após sua investigação, a Mandiant diz que o grupo UNC5537, ainda não identificado, está “comprometendo sistematicamente” os clientes do Snowflake usando credenciais de login roubadas por infecções históricas de malware infostealer em sistemas que não são de propriedade do Snowflake. Algumas dessas credenciais datam de 2020 e permitiram que UNC5537 roubasse dados de instâncias de clientes Snowflake na tentativa de vendê-los em fóruns de cibercriminosos e extorquir as vítimas.
Mandiant diz que a campanha UNC5537 resultou em “numerosos comprometimentos bem-sucedidos” devido a práticas de segurança inadequadas nas contas afetadas, que não atualizaram credenciais de login roubadas ou utilizaram autenticação multifator (MFA) ou listas de permissões de rede. A lista de vítimas, embora em grande parte não identificadas, também deverá crescer, de acordo com a Mandiant, tendo avaliado que o UNC5337 provavelmente terá como alvo plataformas adicionais “num futuro próximo”.
.
