Nueva historia – Sábado 1 de junio de 2024 4:48 p.m.
Snowflake niega la violación de datos, Santander y Ticketmaster admiten el robo de datos, Hudson Rock elimina el informe
¿Los atacantes comprometieron Snowflake o simplemente las cuentas y bases de datos de los clientes? Las afirmaciones contradictorias confunden la situación.
¿Qué es un copo de nieve?
Snowflake es una empresa de análisis y almacenamiento de datos basada en la nube con sede en EE. UU. que afirma tener aproximadamente 9.500 organizaciones como clientes en todo el mundo.
“Desde una perspectiva empresarial, Snowflake generalmente se configura como una solución de almacenamiento de datos basada en la nube. Las empresas seleccionan un proveedor de nube (AWS, Azure o Google Cloud) y configuran una cuenta de Snowflake dentro de la región elegida. Los datos se ingiere desde una variedad de fuentes, transformadas y analizadas utilizando SQL”, dijo a Help Net Security Doron Karmi, investigador senior de seguridad en la nube de Mitiga.
“Si bien Snowflake administra la infraestructura, los clientes tienen responsabilidades específicas en lo que respecta a la seguridad y la protección de datos, incluida la implementación de control de acceso basado en roles (RBAC) y el cumplimiento de políticas de gobierno de datos. Los clientes también necesitan monitorear la actividad utilizando las capacidades de auditoría de Snowflake, generalmente a través de RBAC. , integración de inicio de sesión único (SSO) con un proveedor de identidad y lista blanca de IP o acceso privado. Procesado a través de políticas de red que restringen el acceso a través de puntos finales.
Robo de datos con fines de extorsión
Los investigadores de Mitiga descubren que los actores de amenazas (UNC5537) están aprovechando las credenciales de clientes robadas y una herramienta de ataque llamada ‘rapeflake’ para robar datos de organizaciones que utilizan la plataforma basada en la nube Snowflake.
Dicen que UNC5537 explota principalmente entornos sin autenticación de dos factores y realiza ataques desde IP de VPN comerciales. El grupo se centra en el robo de datos e intenta extorsionar a las organizaciones amenazando con proporcionar datos robados en foros de piratas informáticos.
“UNC5537 es la designación de Mandiant para el grupo de actores de amenazas no clasificados”, dijo Karmi a Helpnet Security.
“Aunque la información sobre el incidente y las tácticas del grupo aún no se ha revelado en su totalidad, hasta donde sabemos, el grupo utiliza herramientas personalizadas para localizar instancias de Snowflake y utiliza técnicas de relleno de credenciales para cometer fraude. Una vez que obtiene acceso, obtiene acceso. aproveche la funcionalidad incorporada de Snowflake para filtrar sus datos utilizando servicios de almacenamiento en la nube”.
Brad Jones, vicepresidente de seguridad de la información y CISO de Snowflake, dijo que la compañía se dio cuenta de un posible acceso no autorizado a ciertas cuentas de clientes el 23 de mayo de 2024.
“Durante nuestra investigación, observamos un aumento en la actividad de amenazas desde mediados de abril de 2024 desde algunas direcciones IP y clientes sospechosos que creemos que están asociados con acceso no autorizado”, añadió.
“Nuestra investigación muestra que este tipo de ataques se llevan a cabo utilizando las credenciales de usuario de nuestros clientes expuestas por operaciones de amenazas cibernéticas no relacionadas. Hasta ahora, esta actividad se ha relacionado con vulnerabilidades dentro de los productos Snowflake. No creemos que haya sido causada por intenciones maliciosas. , mala configuración o actividad maliciosa.”
Snowflake dijo que un número limitado de clientes se vieron afectados. El investigador de seguridad Kevin Beaumont dijo que se estaban realizando “un raspado masivo” y que “parece que se filtraron muchos datos de muchas organizaciones”.
El atacante afirma haber comprometido Snowflake
La empresa de ciberseguridad Hudson Rock habló con los autores de la amenaza. Los perpetradores dicen que en realidad comprometieron a Snowflake al infectar los dispositivos de los empleados con el ladrón de información y obtener credenciales para acceder a los servidores de Snowflake.
“Para comprender cómo se llevó a cabo el ataque, el actor de amenazas pudo usar credenciales robadas para iniciar sesión en las cuentas ServiceNow de los empleados de Snowflake y eludir OKTA ubicado en lift.snowflake.com. “Después de la violación, los actores de amenazas pudieron generar tokens de sesión y exfiltrar grandes cantidades de datos de la empresa”, dijo la empresa.
“El objetivo del actor de amenazas, como en la mayoría de los casos, era chantajear a Snowflake para que recomprara sus datos por 20 millones de dólares. Sin embargo, la empresa parece no haber respondido”.
Aparentemente, este método permitió a los actores de amenazas robar datos de Ticketmaster y del Banco Santander.
“Aún no está claro qué otras empresas se vieron afectadas por el ataque. Esperamos que esta información vaya surgiendo lentamente con el tiempo, ya que las negociaciones con las empresas afectadas todavía están en curso”, añadió el investigador de Hudson Rock.
¿Qué puede hacer un administrador de Snowflake?
Snowflake proporciona indicadores conocidos de compromiso, consultas de investigación que los administradores de Snowflake pueden utilizar para detectar el acceso desde direcciones IP o clientes sospechosos y la reparación que se debe realizar si un atacante determina que se ha accedido a la base de datos. Hemos elaborado un documento que describe las acciones. (deshabilitar usuarios sospechosos, restablecer credenciales) y consejos para prevenir ataques.
Mitiga brindó consejos sobre cómo las organizaciones pueden aprovechar los registros de Snowflake para realizar una búsqueda de amenazas.
“Cada entorno de Snowflake tiene una base de datos llamada “Snowflake” que almacena un esquema llamado “ACCOUNT_USAGE”. “Este esquema mantiene metadatos y datos del historial de uso de su cuenta actual de Snowflake y se actualiza con cada acción realizada, proporcionando un seguimiento de auditoría completo”, explican.
Puede utilizar esta base de datos para detectar actividades inusuales de los usuarios, direcciones IP inusuales y detectar patrones de inicio de sesión sospechosos.
También requiere que los administradores de Snowlake se aseguren de que el inicio de sesión único (SSO) y la autenticación multifactor (MFA) se apliquen correctamente y permitan el acceso a las bases de datos de Snowflake solo desde direcciones IP autorizadas. Le aconsejo que lo considere.
Fuente: https://www.helpnetsecurity.com/2024/05/31/snowflake-compromised-data-theft/
