Mandiant ha nomenclato sotto la sigla UNC5537 l’attore di minacce motivato finanziariamente, sospettato di aver sottratto un volume significativo di dati dagli ambienti dei clienti di Snowflake.
Secondo l’analisi UNC5537 compromette sistematicamente le istanze dei clienti Snowflake utilizzando credenziali rubate, pubblicizzando i dati delle vittime in vendita sui forum di criminalità informatica e tentando di estorcere denaro a molte di queste vittime.
L’indagine di Mandiant rilasciata il 10 giugno non ha trovato alcuna prova che suggerisca che l’accesso non autorizzato agli account dei clienti Snowflake derivi da una violazione del loro ambiente aziendale.
Ogni incidente a cui Mandiant ha risposto in questa campagna è stato ricondotto a credenziali del cliente compromesse.
Nell’aprile 2024, Mandiant ha ricevuto informazioni su database compromessi che sono stati successivamente individuati come provenienti dall’istanza Snowflake di una vittima. Dopo essere stata informata, la vittima ha incaricato Mandiant di indagare sul sospetto furto di dati. L’indagine ha rivelato che l’istanza Snowflake dell’organizzazione era stata compromessa utilizzando credenziali rubate tramite malware infostealer. L’attore di minacce ha utilizzato queste credenziali per accedere all’istanza Snowflake e sottrarre dati preziosi. Al momento della compromissione, sull’account non era abilitata l’autenticazione a più fattori (MFA).
Il 22 maggio 2024, dopo aver ottenuto ulteriori informazioni che indicavano una campagna più ampia mirata ad altre istanze di clienti Snowflake, Mandiant ha immediatamente contattato Snowflake e iniziato a avvisare le potenziali vittime. Circa 165 organizzazioni potenzialmente esposte sono state notificate da Mandiant e Snowflake.
UNC5537 ha ottenuto l’accesso alle istanze di clienti Snowflake di più organizzazioni tramite credenziali rubate, principalmente da diverse campagne malware di infostealer, utilizzando programmi come IDAR, RISEPRO, REDLINE, RACOON STEALER, LUMMA e METASTEALER.
La campagna di minacce di UNC5537 è stata facilitata da tre fattori principali:
- Gli account compromessi non avevano l’autenticazione a più fattori abilitata, richiedendo solo un nome utente e una password validi.
- Le credenziali rubate identificate nell’output del malware infostealer erano ancora valide, in alcuni casi anche anni dopo il furto, e non erano state aggiornate.
- Le istanze dei clienti Snowflake non disponevano di elenchi di rete consentiti per limitare l’accesso solo da posizioni attendibili.
Questa campagna non è il risultato di strumenti, tecniche o procedure particolarmente nuove o sofisticate. Il vasto impatto è dovuto al crescente mercato degli infostealer e alla mancanza di misure di sicurezza adeguate:
- UNC5537 è stato probabilmente in grado di aggregare le credenziali per le istanze Snowflake delle vittime accedendo a varie fonti di registri di infostealer. L’economia clandestina degli infostealer è molto attiva, con ampi elenchi di credenziali rubate disponibili sia gratuitamente che a pagamento.
- Le istanze compromesse non richiedevano l’autenticazione a più fattori e molte credenziali non erano state aggiornate per anni. Inoltre, non erano stati utilizzati elenchi di autorizzazioni di rete per limitare l’accesso a posizioni attendibili.
- Una volta aggregati i dati la hacker gang ha svluppato un agente definito da Mandiant “Frostbite” per ricognire le istanze Snowflake ed interrogazioni SQL.
(Su Alienvault è già disponibile l’elenco degli Indicatori di compromissione in formato pulse https://otx.alienvault.com/pulse/666979aec22f2fa003a8737b )
La campagna ai danni delle utenze Snowflake evidenzia le conseguenze della diffusione di grandi quantità di credenziali rubate nel mercato degli infostealer e potrebbe rappresentare un focus specifico su piattaforme SaaS simili.
Mandiant ritiene che UNC5537 continuerà questo modello di intrusione, prendendo di mira altre piattaforme SaaS in futuro.
Impostare e pretendere Autenticazioni Multifattore, Policy di pass rotation, monitoring e controllo sulla Supply Chain sono tra le soluzioni più comuni ma anche più efficaci per ridurre le superfici di attacco in casi similari.
Qui l’analisi Mandiant:
https://cloud.google.com/blog/topics/threat-intelligence/unc5537-snowflake-data-theft-extortion/
#Snowflake #Mandiant #databreach #infostealer #frostbite #UNC5537 #cybercrime #cybersecurity #cybertreath
