Snowflake Avisa: Campanha de Roubo de Credenciais Direcionada atinge Clientes da Nuvem

Uma empresa de computação em nuvem e análise, Snowflake, afirmou que um “número limitado” de seus clientes foi alvo de uma campanha direcionada. Segundo a empresa, não foi identificada evidência que sugira que essa atividade foi causada por uma vulnerabilidade, má configuração ou violação da plataforma Snowflake. Além disso, não foi identificada evidência sugerindo que essa atividade foi causada por credenciais comprometidas de funcionários atuais ou antigos da Snowflake. A atividade é direcionada contra usuários com autenticação de fator único, com atores de ameaça não identificados utilizando credenciais previamente adquiridas ou obtidas por meio de malware de roubo de informações. A Snowflake também está instando as organizações a habilitarem a autenticação de múltiplos fatores (MFA) e limitarem o tráfego de rede apenas de locais confiáveis. A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA), em um alerta emitido na segunda-feira, recomendou que as organizações sigam as orientações delineadas pela Snowflake para detectar sinais de atividade incomum e tomar medidas para evitar acesso não autorizado do usuário. Um aviso semelhante do Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) alertou sobre “comprometimentos bem-sucedidos de várias empresas que utilizam ambientes Snowflake”. Alguns dos indicadores incluem conexões maliciosas originárias de clientes se identificando como “rapeflake” e “DBeaver_DBeaverUltimate”. O desenvolvimento ocorre dias depois de a empresa reconhecer que observou um aumento na atividade maliciosa direcionada às contas de clientes em sua plataforma de dados na nuvem. Um relatório da empresa de segurança cibernética Hudson Rock anteriormente implicou que a violação da Ticketmaster e do Banco Santander pode ter decorrido de atores de ameaça utilizando as credenciais roubadas de um funcionário da Snowflake, mas desde então foi retirado, citando uma carta que recebeu do conselho jurídico da Snowflake. Atualmente, não se sabe como as duas empresas – ambas clientes da Snowflake – tiveram suas informações roubadas. ShinyHunters, a pessoa que reivindicou a responsabilidade pelos dois comprometimentos nos agora ressuscitados BreachForums, disse ao DataBreaches.net que a explicação da Hudson Rock estava incorreta e que isso é “desinformação”. Um pesquisador de segurança independente, Kevin Beaumont, disse que “os infostealers são um problema significativo – eles há muito superaram os botnets etc. no mundo real – e a única solução real é uma autenticação de múltiplos fatores robusta.” Acredita-se que um grupo de crimes adolescentes esteja por trás do incidente.