Společnost Snowflake, zabývající se cloud computingem a analýzou dat, uvedla, že „omezený počet“ jejích zákazníků byl vybrán jako součást cílené kampaně.
„Nenašli jsme žádné důkazy naznačující, že by tato aktivita byla způsobena zranitelností, špatnou konfigurací nebo narušením platformy Snowflake,“ uvedla společnost ve společném prohlášení spolu s CrowdStrike a Mandiant, která patří společnosti Google.
„Nenašli jsme žádné důkazy naznačující, že by tato aktivita byla způsobena kompromitovanými přihlašovacími údaji současných nebo bývalých zaměstnanců Snowflake.“
Dále uvedla, že aktivita je zaměřena na uživatele s jednofaktorovou autentizací, přičemž neidentifikovaní útočníci využívají přihlašovací údaje dříve zakoupené nebo získané prostřednictvím malwaru kradoucího informace.
„Útočníci aktivně kompromitují zákaznické tenanty Snowflake pomocí ukradených přihlašovacích údajů získaných infostealing malwarem a přihlašují se do databází, které jsou konfigurovány s jednofaktorovou autentizací,“ uvedl CTO Mandiant Charles Carmakal v příspěvku na LinkedInu.
Snowflake také vyzývá organizace, aby povolily vícefaktorovou autentizaci (MFA) a omezily síťový provoz pouze na důvěryhodná místa.
Americká agentura pro kybernetickou bezpečnost a infrastrukturu (CISA) vydala varování, ve kterém doporučuje organizacím, aby se řídily pokyny Snowflake k hledání známek neobvyklé aktivity a přijaly opatření k zabránění neoprávněného přístupu uživatelů.
Mezi indikátory patří škodlivá připojení pocházející od klientů identifikujících se jako „rapeflake“ a „DBeaver_DBeaverUltimate.“
Tento vývoj přichází několik dní poté, co společnost přiznala, že zaznamenala nárůst škodlivé aktivity zaměřené na zákaznické účty na její cloudové datové platformě.
Zpráva od firmy zabývající se kybernetickou bezpečností Hudson Rock dříve naznačovala, že narušení Ticketmasteru a Santander Bank mohlo být způsobeno útočníky používajícími ukradené přihlašovací údaje zaměstnance Snowflake, ale byla stažena s odvoláním na dopis, který obdržela od právního zástupce Snowflake.
V současné době není známo, jak byly informace obou společností – které jsou obě zákazníky Snowflake – ukradeny. ShinyHunters, osoba, která se přihlásila k odpovědnosti za dvojité narušení na nyní obnoveném BreachForums, řekla serveru DataBreaches.net, že vysvětlení Hudson Rock bylo nesprávné a že jde o „dezinformaci“.
„Infostealery jsou významným problémem – již dávno předčily botnety atd.– a jediným skutečným řešením je robustní vícefaktorová autentizace,“ řekl nezávislý bezpečnostní výzkumník Kevin Beaumont. Předpokládá se, že za incidentem stojí skupina mladistvých zločinců.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
