Un nuevo informe de Mandiant, parte de Google Cloud, revela que un actor de amenazas con motivación financiera llamado UNC5537 recopiló y exfiltró datos de alrededor de 165 instancias de clientes de Snowflake de organizaciones. Snowflake es una plataforma de datos en la nube que se utiliza para almacenar y analizar grandes volúmenes de datos. El actor de amenazas logró acceder a estos datos activando credenciales que previamente fueron robadas por malware de robo de información o compradas a otros ciberdelincuentes. Según Mandiant, el actor de amenazas UNC5537 anuncia la venta de datos de las víctimas en foros de ciberdelincuencia e intenta extorsionar a muchas de las víctimas. Cuando se venden los datos, cualquier ciberdelincuente podría comprar esta información con diferentes fines como ciberespionaje, inteligencia competitiva o fraude más orientado a las finanzas. ¿Cómo fueron atacados algunos usuarios de Snowflake por este robo de datos y extorsión? Una declaración conjunta proporcionada por Snowflake, Mandiant y la empresa de ciberseguridad CrowdStrike indica que no hay evidencia que sugiera que la actividad fraudulenta pueda ser causada por una vulnerabilidad, una mala configuración o una violación de la plataforma de Snowflake. Tampoco hay evidencia de que la actividad haya sido causada por credenciales comprometidas de empleados actuales o anteriores de Snowflake. En cambio, la evidencia muestra que los atacantes obtuvieron credenciales de múltiples campañas de malware de robo de información que infectaron sistemas que no eran propiedad de Snowflake. Luego, el actor de amenazas obtuvo acceso a las cuentas afectadas, lo que permitió la filtración de un volumen significativo de datos de clientes de las respectivas instancias de clientes de Snowflake. Diagrama de ruta de ataque. Imagen: Mandiant Los investigadores de Mandiant afirmaron que la mayoría de las credenciales utilizadas por UNC5537 estaban disponibles en malware de robo de información histórico; Algunas de esas credenciales se remontan a noviembre de 2020, pero aún eran utilizables. Diferentes familias de malware de robo de información fueron responsables del robo de credenciales; las más utilizadas fueron Vidar, Risepro, Redline, Racoon Stealer, Lumma y Metastealer. Según Mandiant y Snowflake, al menos el 79,7% de las cuentas aprovechadas por el actor de amenazas tenían exposición previa de credenciales. Mandiant también informó que el ataque inicial del malware de robo de información se produjo en sistemas de contratistas que también se utilizaban para actividades personales, incluidos juegos y descargas de software pirateado, que es un fuerte vector para la propagación de robos de información. ¿Cómo obtuvo UNC5537 las credenciales robadas? Como se informó, el actor de amenazas obtuvo credenciales de una variedad de malware de robo de información, pero UNC5537 también aprovechó las credenciales que se compraron previamente. Si bien Mandiant no proporciona información adicional, es razonable pensar que esas credenciales fueron compradas en uno o varios mercados clandestinos cibercriminales directamente a los llamados corredores de acceso inicial, que son una categoría de cibercriminales que venden acceso corporativo robado a otros estafadores. Como escribe Mandiant en su informe, “la economía clandestina del robo de información también es extremadamente sólida, y existen grandes listas de credenciales robadas tanto de forma gratuita como para comprar dentro y fuera de la web oscura”. Mandiant también informó que, en 2023, el 10% de las intrusiones totales comenzaron con credenciales robadas, lo que representa el cuarto vector de intrusión inicial más notable. Cobertura de seguridad de lectura obligada ¿Cuáles fueron los métodos iniciales de acceso y filtración de datos en este ataque de Snowflake? En esta campaña de ataque, el acceso inicial a las instancias de los clientes de Snowflake a menudo se produjo a través de la interfaz de usuario nativa accesible desde la web (Snowflake SnowSight) o desde la herramienta de interfaz de línea de comandos proporcionada por Snowflake (SnowSQL). Se ha utilizado una herramienta adicional denominada “rapeflake” y rastreada en FROSTBITE por Mandiant para realizar reconocimiento contra instancias de Snowflake. FROSTBITE existe en al menos dos versiones: una que usa .NET para interactuar con el controlador Snowflake .NET y una versión que usa Java para interactuar con el controlador Snowflake JDBC. La herramienta permite a los atacantes realizar actividades SQL, como enumerar usuarios, roles actuales, direcciones IP actuales, ID de sesión y nombres de organizaciones. El actor de amenazas también ha utilizado una herramienta pública para administrar bases de datos, DBeaver Ultimate, para ejecutar consultas en las instancias de Snowflake. Utilizando consultas SQL, el actor de amenazas pudo extraer información de las bases de datos. Una vez que se encontraron datos interesantes, se comprimieron como GZIP usando el comando «COPIAR EN» para reducir el tamaño de los datos a extraer. El atacante utilizó principalmente los servicios VPN Mullvad y Private Internet Access para acceder a las instancias Snowflake de las víctimas. También se utilizó un proveedor moldavo de VPS, ALEXHOST SRL, para la filtración de datos. El atacante almacenó los datos de las víctimas en varios proveedores VPS internacionales, así como en el proveedor de almacenamiento en la nube MEGA. ¿Qué organizaciones están en riesgo? La campaña de ataque parece ser una campaña dirigida a usuarios de Snowflake con autenticación de un solo factor. Todos los usuarios con autenticación multifactor están a salvo de esta campaña de ataque y no fueron el objetivo. Además, las instancias de clientes de Snowflake afectadas no tenían listas permitidas para permitir solo conexiones desde ubicaciones confiables. Consejos de Snowflake sobre cómo proteger su empresa de esta amenaza de ciberseguridad Snowflake publicó información sobre cómo detectar y prevenir el acceso de usuarios no autorizados. La compañía proporcionó una lista de casi 300 direcciones IP sospechosas utilizadas por el actor de amenazas y compartió una consulta para identificar el acceso desde las direcciones IP sospechosas. La empresa también proporcionó una consulta para identificar el uso de las herramientas “rapeflake” y “DBeaver Ultimate”. Cualquier cuenta de usuario que devuelva resultados de esas consultas debe desactivarse inmediatamente. Snowflake recomienda encarecidamente reforzar la seguridad: aplicar MFA a los usuarios. Configure políticas de red a nivel de cuenta y de usuario para cuentas de servicios/usuarios con altas credenciales. Revise los parámetros de la cuenta para restringir la exportación de datos desde las cuentas Snowflake. Supervise las cuentas de Snowflake para detectar cambios de configuración o escalada de privilegios no autorizados e investigue cualquiera de esos eventos. Además, se recomienda encarecidamente tener todo el software y los sistemas operativos actualizados y parcheados para evitar verse comprometidos por una vulnerabilidad común, que podría provocar una fuga de credenciales. Es necesario implementar soluciones de seguridad en todos los terminales para evitar la infección por robo de información. También se recomienda crear conciencia sobre la seguridad informática y capacitar al personal para detectar y reportar eventos sospechosos de ciberseguridad. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.