Crónica España.

Crónica España.

Ciberdelincuentes roban gran cantidad de datos en ataque a clientes de Snowflake

Ciberdelincuentes roban gran cantidad de datos en ataque a clientes de Snowflake

El grupo de ciberdelincuentes UNC5537 ha sido identificado como responsables de la reciente brecha de seguridad en Snowflake, utilizando credenciales de clientes robadas en anteriores campañas de malware para robar datos y extorsionar a las víctimas.

Snowflake, en colaboración con expertos en ciberseguridad como CrowdStrike y Mandiant, está investigando una campaña de amenazas dirigidas a cuentas de clientes, confirmando que un número limitado de cuentas han sido comprometidas.

No se ha encontrado evidencia de que la actividad maliciosa sea causada por vulnerabilidades en la plataforma de Snowflake o por contraseñas comprometidas del personal.

El grupo de ciberdelincuentes UNC5537 habría aprovechado credenciales previamente compradas u obtenidas mediante ransomware para llevar a cabo el ataque.

Se han filtrado más de 500 credenciales de clientes de Snowflake, incluyendo empresas como Ticketmaster y el Banco Santander, que también han experimentado incidentes de seguridad.

Mandiant ha revelado que el ataque ha sido atribuido al grupo UNC5537, compuesto por ciberdelincuentes de América del Norte y Turquía, con motivación financiera y capacidad para robar datos de los clientes de Snowflake.

El modus operandi del grupo UNC5537 es comprometer las instancias de las víctimas utilizando credenciales de clientes robadas y extorsionar a las víctimas con la venta de datos robados en foros de ciberdelincuencia.

Se han identificado alrededor de 165 clientes de Snowflake que podrían haber sido afectados por la campaña maliciosa.

No se ha encontrado evidencia de que el acceso no autorizado a las cuentas de los clientes de Snowflake haya sido causado por una vulneración en la empresa.

Las credenciales comprometidas fueron obtenidas de múltiples campañas de ransomware, algunas datan del año 2020 y no contaban con autenticación multifactor habilitada.

Mandiant ha concluido que esta campaña de ataques no es sofisticada, sino que es resultado de un creciente mercado de robo de información.

Los expertos de Mandiant tuvieron conocimiento de estos ataques en abril y han colaborado estrechamente con Snowflake para mitigar esta amenaza cibernética.

Snowflake continúa trabajando con sus clientes para implementar controles de seguridad avanzados y reducir las amenazas cibernéticas a sus negocios.