Breccia nei servizi cloud: attacco su vasta scala ai danni dei clienti di Snowflake

La recente compromissione delle istanze cloud dei clienti di Snowflake, un'importante azienda nel settore dei servizi di cloud storage, solleva gravi preoccupazioni. In rete si parla di oltre 165 aziende violate, con conseguenze significative per molte realtà di rilievo. Il problema è emerso qualche settimana fa, quando Ticketmaster, una piattaforma di biglietteria ben nota, ha dichiarato il furto di 560 milioni di record di clienti, conservati su Snowflake. Questo immenso bottino di informazioni personali, inclusi nomi, indirizzi, numeri di telefono e dati parziali delle carte di credito, è stato poi offerto in vendita sui canali del dark web. A rendere la situazione ancora più critica, anche Santander, un istituto bancario spagnolo, ha rivelato di essere stato vittima della sottrazione di dati riservati dei propri correntisti, anch'essi custoditi sui servizi cloud di Snowflake e successivamente messi in vendita.

Mandiant identifica la portata della violazione

Purtroppo, questi non sono stati casi isolati, ma solo la punta dell'iceberg. Mandiant, la società di sicurezza informatica associata a Google, incaricata di investigare sull'incidente, ha identificato almeno 165 clienti coinvolti. Tuttavia, la stima delle vittime potrebbe aumentare ulteriormente con l'approfondirsi delle indagini. L'accesso iniziale agli account compromessi è avvenuto sfruttando le utility di Snowflake, come SnowSight e SnowSQL. Il tutto tramite uno strumento di intrusione chiamato Frostbite, che ha fatto uso di credenziali sottratte mediante vari infostealer come Vidar, Risepro, Redline, Racoon Stealer, Lumma e MetaStealerMalware, spesso ottenute sfruttando i clienti tramite malware sui loro sistemi, non necessariamente quelli di Snowflake. Un punto critico sottolineato da Mandiant è che molti degli account target non utilizzavano l'autenticazione multifattoriale, la cui presenza avrebbe potuto prevenire la compromissione.

UNC5537 e la strategia dietro l'attacco

Secondo Mandiant, il gruppo hacker responsabile è identificato come UNC5537, operante principalmente in Nord America e motivato esclusivamente da estorsioni finanziarie. Gli analisti ritengono che l'attacco abbia avuto inizio già a novembre 2020, con un picco significativo nello scorso aprile. UNC5537 utilizza diversi strumenti per mascherare le loro attività, come VPN, server VPS e il servizio di cloud storage MEGA, nonché frequenti alias su Telegram. I dati sottratti sono stati distribuiti su vari provider di hosting e servizi di storage, inclusi quelli di MEGA. Questa rete ben organizzata di strumenti e metodi ha permesso ai cybercriminali di archiviare e vendere enormi quantità di dati senza essere facilmente rintracciati, aumentando la complessità dell'intero incidente.

Conseguenze e raccomandazioni per la sicurezza

L'analisi di Mandiant suggerisce che l'incidente non sia da imputare a una gestione inadeguata da parte di Snowflake, anche se alcuni esperti, come Kevin Beaumont, critiche duramente il loro sistema di autenticazione giudicandolo "terribile". Nonostante ciò, le principali responsabilità ricadono sulle aziende vittime, colpevoli di non aver implementato adeguate politiche di sicurezza. Mandiant ha pubblicato indicatori di compromissione e suggerito di monitorare costantemente le credenziali come pratica preventiva. Questo incidente evidenzia l'importanza di aggiornare regolarmente le credenziali di accesso e adotare misure di sicurezza robustIMENTO ALle, come l'autenticazione multifattoriale. Infine, un documento su come rafforzare la sicurezza degli ambienti Snowflake è stato reso disponibile per i clienti, al fine di evitare future compromissioni.