Pesquisadores de segurança acreditam que cibercriminosos com motivação financeira roubaram um “volume significativo de dados” de centenas de clientes que utilizam os vastos serviços de armazenamento em nuvem da Snowflake.
A empresa de resposta a incidentes Mandiant, que está colaborando com a Snowflake para investigar a recente onda de roubos de dados, revelou em um blog na segunda-feira que cerca de 165 clientes foram notificados sobre possíveis roubos de seus dados.
Esta é a primeira vez que o número de clientes afetados pela Snowflake é divulgado desde que os ataques começaram em abril. A Snowflake, que até agora afirmou que apenas um “número limitado” de seus clientes foi afetado, possui mais de 9.800 clientes corporativos, incluindo organizações de saúde, gigantes do varejo e algumas das maiores empresas de tecnologia do mundo, que usam a plataforma para análise de dados.
Até o momento, apenas a Ticketmaster e a LendingTree confirmaram roubos de dados hospedados na Snowflake. Outros clientes estão investigando possíveis violações em seus ambientes.
A Mandiant indicou que a campanha de ameaças está “em andamento”, sugerindo que o número de clientes afetados pode aumentar. Em sua postagem, a Mandiant atribuiu os ataques ao grupo UNC5537, uma gangue de cibercriminosos ainda não classificada, motivada por ganhos financeiros. O grupo, que inclui membros na América do Norte e pelo menos um na Turquia, tenta extorquir vítimas para recuperar seus arquivos ou evitar a divulgação pública dos dados roubados.
Os ataques, que utilizam “credenciais roubadas para acessar a instância Snowflake do cliente e exfiltrar dados valiosos”, datam de pelo menos 14 de abril. A Mandiant informou a Snowflake sobre as invasões em 22 de maio. A maioria das credenciais roubadas usadas pelo UNC5537 foi encontrada em infecções históricas de malware, algumas datando de 2020.
Falta de MFA e Medidas de Segurança
As descobertas da Mandiant corroboram a declaração da Snowflake de que não houve uma violação direta de seus sistemas, mas sim uma falha na utilização de autenticação multifator (MFA) pelos clientes. Na semana passada, o TechCrunch descobriu centenas de credenciais de clientes da Snowflake circulando online, roubadas por malware que infectou computadores de funcionários com acesso ao ambiente da Snowflake. Isso sugere um risco contínuo para os clientes que ainda não alteraram suas senhas ou habilitaram a MFA.
A Snowflake afirmou que está “desenvolvendo um plano” para impor o uso de MFA nas contas de seus clientes, mas ainda não forneceu um cronograma. A porta-voz da Snowflake, Danica Stanczak, se recusou a comentar sobre a falta de redefinição proativa de senhas dos clientes ou a imposição do uso de MFA.
A empresa ainda não respondeu à postagem do blog da Mandiant na segunda-feira.
