Home Tecnología Mandiant dice que los piratas informáticos robaron un “volumen significativo de datos” de los clientes de Snowflake

Mandiant dice que los piratas informáticos robaron un “volumen significativo de datos” de los clientes de Snowflake

by internauta
0 comment


Los investigadores de seguridad dicen que creen que los ciberdelincuentes con motivación financiera han robado un “volumen significativo de datos” de cientos de clientes que alojan sus vastos bancos de datos en el gigante del almacenamiento en la nube Snowflake.

La firma de respuesta a incidentes Mandiant, que está trabajando con Snowflake para investigar la reciente oleada de robos de datos, dijo en una publicación de blog el lunes que las dos firmas han notificado a alrededor de 165 clientes que sus datos pueden haber sido robados.

Es la primera vez que se revela el número de clientes de Snowflake afectados desde que comenzaron los ataques a las cuentas en abril. Snowflake ha dicho poco hasta la fecha sobre los ataques, sólo que un “número limitado” de sus clientes se ven afectados. El gigante de los datos en la nube tiene más de 9.800 clientes corporativos, como organizaciones de atención médica, gigantes minoristas y algunas de las empresas tecnológicas más grandes del mundo, que utilizan Snowflake para análisis de datos.

Hasta ahora, sólo Ticketmaster y LendingTree han confirmado robos de datos donde sus datos robados estaban alojados en Snowflake. Varios otros clientes de Snowflake dicen que actualmente están investigando posibles robos de datos de sus entornos Snowflake.

Mandiant dijo que la campaña de amenazas está “en curso”, lo que sugiere que la cantidad de clientes corporativos de Snowflake que informan sobre robos de datos puede aumentar.

En su publicación de blog, Mandiant atribuyó los ataques a las cuentas a UNC5537, una banda de cibercriminales aún no clasificada que, según la firma de seguridad, está motivada por ganar dinero. La pandilla, que según Mandiant incluye miembros en América del Norte y al menos un miembro en Turquía, intenta extorsionar a sus víctimas para que paguen para recuperar sus archivos o evitar la divulgación pública de los datos de sus clientes.

Mandiant confirmó que los ataques, que se basan en el uso de “credenciales robadas para acceder a la instancia de Snowflake del cliente y, en última instancia, exfiltrar datos valiosos”, se remontan al menos al 14 de abril, cuando sus investigadores identificaron por primera vez evidencia de acceso inadecuado al entorno de un cliente de Snowflake no identificado. . Mandiant dijo que notificó a Snowflake sobre las intrusiones en las cuentas de sus clientes el 22 de mayo.

La firma de seguridad dijo que la mayoría de las credenciales robadas utilizadas por UNC5537 estaban “disponibles a partir de infecciones históricas de robo de información”, y algunas se remontan a 2020. Los hallazgos de Mandiant confirman la divulgación limitada de Snowflake, que decía que no hubo una violación directa de los propios sistemas de Snowflake. pero culpó a las cuentas de sus clientes por no utilizar la autenticación multifactor (MFA).

La semana pasada, TechCrunch encontró circulando en línea cientos de credenciales de clientes de Snowflake robadas por malware que infectó las computadoras de los empleados que tienen acceso al entorno Snowflake de su empleador. La cantidad de credenciales disponibles en línea vinculadas a entornos Snowflake sugiere un riesgo continuo para los clientes que aún no han cambiado sus contraseñas ni habilitado MFA.

Mandiant dijo que también ha visto “cientos de credenciales de Snowflake de clientes expuestas a través de ladrones de información”.

Por su parte, Snowflake no requiere que sus clientes utilicen de forma predeterminada ni impongan el uso de la función de seguridad. En una breve actualización del viernes, Snowflake dijo que está “desarrollando un plan” para imponer el uso de MFA en las cuentas de sus clientes, pero aún no ha proporcionado un cronograma.

La portavoz de Snowflake, Danica Stanczak, se negó a decir por qué la compañía no restableció las contraseñas de los clientes ni aplicó MFA. Snowflake no hizo comentarios de inmediato sobre la publicación del blog de Mandiant el lunes.


¿Sabe más sobre las intrusiones en las cuentas de Snowflake? Ponerse en contacto. Para contactar a este reportero, comuníquese por Signal y WhatsApp al +1 646-755-8849, o por correo electrónico. También puede enviar archivos y documentos a través de SecureDrop.

You may also like

Exploramos la red para colectar la información más importante que pueda ser compartida para los intereses de los internautas.

El Blog del Internauta 2022

-
00:00
00:00
Update Required Flash plugin
-
00:00
00:00