Kompanija za cloudcomputing i analitiku Snowflake rekla je da je “ograničen broj” njenih kupaca izdvojen kao dio ciljane kampanje.
“Nismo identifikovali dokaze koji ukazuju na to da je ova aktivnost uzrokovana ranjivosti, pogrešnom konfiguracijom ili kršenjem platforme Snowflake”, navodi se u zajedničkom saopštenju kompanije zajedno sa CrowdStrike-om i Mandiantom u vlasništvu Google-a.
“Nismo identifikovali dokaze koji ukazuju na to da je ova aktivnost uzrokovana kompromitovanim akreditivima sadašnjeg ili bivšeg osoblja Snowflake.”
Nadalje se navodi da je aktivnost usmjerena protiv korisnika sa autentifikacijom sa jednim faktorom, pri čemu neidentifikovani akteri prijetnji koriste vjerodajnice koje su prethodno kupljene ili dobijene putem zlonamjernog softvera za krađu informacija.
“Učesnici prijetnji aktivno kompromitiraju klijente Snowflake organizacija koristeći ukradene krendcijale dobijene krađom zlonamjernog softvera i prijavljivanjem u baze podataka koje su konfigurisane sa autentifikacijom jednog faktora”, rekao je CTO Mandiant Charles Carmakal u objavi na LinkedIn-u.
Snowflake takođe poziva organizacije da omoguće višefaktorsku autentifikaciju (MFA) i ograniče mrežni promet samo sa pouzdanih lokacija.
Američka agencija za cyber i infrastrukturnu sigurnost (CISA), u upozorenju objavljenom u ponedjeljak, preporučila je organizacijama da slijede smjernice koje je iznio Snowflake kako bi pronašle znakove neuobičajene aktivnosti i preduzele korake za sprječavanje neovlaštenog pristupa korisnika.
Sličan savjet Australijskog centra za cyber sigurnost (ACSC) Direkcije za signale Australije upozorio je na “uspješne kompromise nekoliko kompanija koje koriste Snowflake okruženja”.
Neki od indikatora uključuju zlonamjerne veze koje potiču od klijenata koji se identificiraju kao “rapeflake” i “DBeaver_DBeaverUltimate”.
Razvoj dolazi nekoliko dana nakon što je kompanija priznala da je primijetila porast zlonamjernih aktivnosti usmjerenih na korisničke račune na svojoj platformi podataka u cloud.
Iako je izvještaj kompanije za cyber sigurnost Hudson Rock ranije implicirao da je kršenje Ticketmaster-a i Santander banke moglo proizaći iz pretnji koje su koristile ukradene akreditive zaposlenika Snowflakea, od tada je uklonjen , pozivajući se na pismo koje je primio od Snowflakeovog pravnog savjetnika.
Trenutno nije poznato kako su dvije kompanije – koje su obe klijenti Snowflake – ukradene njihove informacije. ShinyHunters, osoba koja je preuzela odgovornost za dvostruke povrede na sada BreachForums-u, rekla je za DataBreaches.net da je objašnjenje Hudsona Rocka netačno i da je riječ o “dezinformacijama”.
“Kradivljci podataka su značajan problem — odavno su nadmašili botnet itd. u stvarnom svijetu — a jedino pravo rješenje je robust multi-factor authentication,” rekao je nezavisni istraživač sigurnosti Kevin Beaumont . Vjeruje se da iza incidenta stoji tinejdžerska kriminalna grupa.
Izvor:The Hacker News