Getty Images Hasta 165 clientes del proveedor de almacenamiento en la nube Snowflake han sido comprometidos por un grupo que obtuvo credenciales de inicio de sesión a través de malware para robar información, dijeron investigadores el lunes. El viernes, QuoteWizard, filial de Lending Tree, confirmó que estaba entre los clientes notificados por Snowflake que se vieron afectados por el incidente. La portavoz de Lending Tree, Megan Greuling, dijo que la compañía está en el proceso de determinar si los datos almacenados en Snowflake han sido robados. «Esa investigación está en curso», escribió en un correo electrónico. «A partir de este momento, no parece que la información de la cuenta financiera del consumidor se haya visto afectada, ni la información de la entidad matriz, Lending Tree». Investigadores de Mandiant, una empresa de seguridad propiedad de Google que Snowflake contrató para investigar el compromiso masivo, dijeron el lunes que las compañías han identificado hasta ahora a 165 clientes cuyos datos pueden haber sido robados en la ola de ataques. Live Nation confirmó hace 10 días que los datos que su grupo TicketMaster almacenó en Snowflake habían sido robados luego de una publicación que ofrecía la venta de los nombres completos, direcciones, números de teléfono y números parciales de tarjetas de crédito de 560 millones de clientes de Ticketmaster. Santander, el banco más grande de España, dijo recientemente que también se han robado datos pertenecientes a algunos de sus clientes. El mismo grupo que anunciaba los datos de Ticketmaster ofrecía la venta de datos de Santander. Los investigadores de la firma de seguridad Hudson Rock dijeron que los datos robados también se almacenaron en Snowflake. Santander no ha confirmado ni desmentido la afirmación. La publicación del lunes de Mandiant decía que todos los compromisos que ha rastreado hasta ahora fueron el resultado de que las credenciales de inicio de sesión de las cuentas Snowflake fueron robadas por malware de robo de información y almacenadas en grandes registros, a veces durante años. Ninguna de las cuentas afectadas utilizó autenticación multifactor, que requiere que los usuarios proporcionen una contraseña de un solo uso o medios de autenticación adicionales además de una contraseña. Publicidad El grupo que lleva a cabo los ataques tiene motivaciones financieras y sus miembros se encuentran principalmente en América del Norte. Mandiant lo está rastreando como UNC5537. Los investigadores de la compañía escribieron: Según nuestras investigaciones hasta la fecha, UNC5537 obtuvo acceso a instancias de clientes de Snowflake de varias organizaciones a través de credenciales de clientes robadas. Estas credenciales se obtuvieron principalmente de múltiples campañas de malware de robo de información que infectaron sistemas que no eran propiedad de Snowflake. Esto permitió al actor de amenazas obtener acceso a las cuentas de los clientes afectados y condujo a la exportación de un volumen significativo de datos de clientes desde las respectivas instancias de clientes de Snowflake. Posteriormente, el atacante comenzó a extorsionar directamente a muchas de las víctimas e intenta activamente vender los datos robados de los clientes en reconocidos foros de cibercriminales. Mandiant identificó que la mayoría de las credenciales utilizadas por UNC5537 estaban disponibles a partir de infecciones históricas de robo de información, algunas de las cuales se remontaban a 2020. La campaña de amenazas realizada por UNC5537 ha resultado en numerosos compromisos exitosos debido a tres factores principales: Las cuentas afectadas eran no está configurado con la autenticación multifactor habilitada, lo que significa que la autenticación exitosa solo requiere un nombre de usuario y contraseña válidos. Las credenciales identificadas en la producción de malware de robo de información todavía eran válidas, en algunos casos años después de haber sido robadas, y no habían sido rotadas ni actualizadas. Las instancias de clientes de Snowflake afectadas no tenían listas de red permitidas para permitir el acceso únicamente desde ubicaciones confiables. Ampliar / Ruta de ataque UNC5537 se ha utilizado en ataques contra hasta 165 clientes de Snowflake. El acceso inicial de Mandiant a las cuentas de Snowflake afectadas a menudo se producía con el uso de SnowSight o SnowSQL nativo de la empresa, que son una interfaz de usuario basada en web y una línea de comandos. interfaz respectivamente. Los actores de amenazas también utilizaron una utilidad personalizada que aparece como «rapeflake» en los registros y que Mandiant rastrea como FrostBite.