.
Como as contas reconhecidas do Snowflake foram atacadas, ele forneceu mais algumas informações sobre o incidente. Brad Jones, CISO da Snowflake, disse em uma postagem no blog que os agentes de ameaças usaram detalhes de login de contas que foram “compradas ou obtidas por meio de malware de roubo de informações”, projetado para extrair nomes de usuário e senhas de dispositivos que foram comprometidos. O incidente parece ser uma “campanha direcionada a usuários com autenticação de fator único”, acrescentou Jones.
A postagem de Jones disse que a Snowflake, juntamente com as empresas de segurança cibernética CrowdStrike e Mandiant, que contratou para investigar o incidente, não encontrou evidências mostrando que o ataque foi “causado por credenciais comprometidas de funcionários atuais ou antigos da Snowflake”. No entanto, descobriu que as contas demo de um ex-funcionário foram acessadas, alegando que não continham dados confidenciais.
Quando questionado sobre possíveis violações de dados de empresas específicas, uma pessoa da Snowflake apontou para a declaração de Jones: “Não identificamos evidências que sugiram que esta atividade foi causada por uma vulnerabilidade, configuração incorreta ou violação da plataforma da Snowflake”. A empresa não forneceu um comentário oficial esclarecendo o que se entende por “violação”. (A empresa de segurança Hudson Rock disse que removeu uma postagem de pesquisa que incluía várias afirmações não verificadas sobre o incidente do Snowflake após receber uma carta legal do Snowflake).
A Agência de Segurança Cibernética e de Infraestrutura dos EUA emitiu um alerta sobre o incidente Snowflake, enquanto o Centro de Segurança Cibernética da Austrália disse estar “ciente de compromissos bem-sucedidos de várias empresas que utilizam ambientes Snowflake”.
Origens pouco claras
Pouco se sabe sobre os dados de publicidade da conta Sp1d3r no BreachForums, e não está claro se a ShinyHunters obteve os dados que estava vendendo de outra fonte ou diretamente das contas Snowflake das vítimas – informações sobre uma violação da Ticketmaster e do Santander foram originalmente publicadas em outro fórum de crimes cibernéticos por um novo usuário chamado “SpidermanData”.
A conta Sp1d3r postou no BreachForums que os 2 terabytes de supostos dados do LendingTree e do QuoteWizard estavam à venda por US$ 2 milhões; enquanto 3 TB de dados supostamente da Advance Auto Parts custariam US$ 1,5 milhão. “O preço definido pelo ator da ameaça parece extremamente alto para uma listagem típica publicada no BreachForums”, diz Chris Morgan, analista sênior de inteligência sobre ameaças cibernéticas da empresa de segurança ReliaQuest.
Morgan diz que a legitimidade do Sp1d3r não está clara; no entanto, ele ressalta que há uma homenagem ao grupo de hackers adolescentes Scattered Spider. “Curiosamente, a foto do perfil do ator da ameaça foi tirada de um artigo que faz referência ao grupo de ameaça Scattered Spider, embora não esteja claro se isso é para fazer uma associação intencional com o grupo de ameaça.”
Embora a origem exata das alegadas violações de dados não seja clara, o incidente destaca como as empresas podem estar interligadas quando dependem de produtos e serviços de fornecedores terceiros. “Acho que muito disso é apenas um reconhecimento de quão interdependentes esses serviços são agora e quão difícil é controlar a postura de segurança de terceiros”, disse o pesquisador de segurança Tory Hunt à WIRED quando os incidentes surgiram pela primeira vez.
Como parte de sua resposta aos ataques, a Snowflake disse a todos os clientes para garantirem a autenticação multifator em todas as contas e permitirem apenas o tráfego de usuários ou locais autorizados. As empresas afetadas também devem redefinir suas credenciais de login do Snowflake. Habilitar a autenticação multifator reduz enormemente as chances de contas online serem comprometidas. Conforme mencionado, o TechCrunch informou esta semana que viu “centenas de supostas credenciais de clientes do Snowflake” tomadas por malware de roubo de informações de computadores de pessoas que acessaram contas do Snowflake.
Nos últimos anos, coincidindo com o aumento do número de pessoas trabalhando em casa desde a pandemia de Covid-19, houve um aumento no uso de malware infostealer. “Os infostealers se tornaram mais populares porque são muito procurados e são muito fáceis de criar”, diz Ian Gray, vice-presidente de inteligência da empresa de segurança Flashpoint. Foi visto que hackers copiavam ou modificavam infostealers existentes e os vendiam por apenas US$ 10 por todos os detalhes de login, cookies, arquivos e muito mais de um dispositivo infectado.
“Esse malware pode ser entregue de diferentes maneiras e tem como alvo informações confidenciais, como dados do navegador (cookies e credenciais), cartões de crédito e carteiras criptografadas”, diz Gray. “Os hackers podem vasculhar os registros em busca de credenciais corporativas para invadir contas sem permissão.”
.
