Breccia nei servizi cloud: attacco su vasta scala ai danni dei clienti di Snowflake
Indagini rilevano attacchi informatici su vasta scala sfruttando credenziali compromesse e strumenti di intrusione avanzati
Una violazione della sicurezza su Snowflake ha colpito oltre 165 aziende, tra cui Ticketmaster e Santander, con il furto di dati sensibili. Gli hacker hanno sfruttato credenziali rubate tramite malware. La mancanza di autenticazione multifattoriale ha contribuito alla compromissione.
La recente compromissione delle istanze cloud dei clienti di Snowflake, un'importante azienda nel settore dei servizi di cloud storage, solleva gravi preoccupazioni. In rete si parla di oltre 165 aziende violate, con conseguenze significative per molte realtà di rilievo. Il problema è emerso qualche settimana fa, quando Ticketmaster, una piattaforma di biglietteria ben nota, ha dichiarato il furto di 560 milioni di record di clienti, conservati su Snowflake. Questo immenso bottino di informazioni personali, inclusi nomi, indirizzi, numeri di telefono e dati parziali delle carte di credito, è stato poi offerto in vendita sui canali del dark web. A rendere la situazione ancora più critica, anche Santander, un istituto bancario spagnolo, ha rivelato di essere stato vittima della sottrazione di dati riservati dei propri correntisti, anch'essi custoditi sui servizi cloud di Snowflake e successivamente messi in vendita.
Mandiant identifica la portata della violazione
Purtroppo, questi non sono stati casi isolati, ma solo la punta dell'iceberg. Mandiant, la società di sicurezza informatica associata a Google, incaricata di investigare sull'incidente, ha identificato almeno 165 clienti coinvolti. Tuttavia, la stima delle vittime potrebbe aumentare ulteriormente con l'approfondirsi delle indagini. L'accesso iniziale agli account compromessi è avvenuto sfruttando le utility di Snowflake, come SnowSight e SnowSQL. Il tutto tramite uno strumento di intrusione chiamato Frostbite, che ha fatto uso di credenziali sottratte mediante vari infostealer come Vidar, Risepro, Redline, Racoon Stealer, Lumma e MetaStealerMalware, spesso ottenute sfruttando i clienti tramite malware sui loro sistemi, non necessariamente quelli di Snowflake. Un punto critico sottolineato da Mandiant è che molti degli account target non utilizzavano l'autenticazione multifattoriale, la cui presenza avrebbe potuto prevenire la compromissione.
UNC5537 e la strategia dietro l'attacco
Secondo Mandiant, il gruppo hacker responsabile è identificato come UNC5537, operante principalmente in Nord America e motivato esclusivamente da estorsioni finanziarie. Gli analisti ritengono che l'attacco abbia avuto inizio già a novembre 2020, con un picco significativo nello scorso aprile. UNC5537 utilizza diversi strumenti per mascherare le loro attività, come VPN, server VPS e il servizio di cloud storage MEGA, nonché frequenti alias su Telegram. I dati sottratti sono stati distribuiti su vari provider di hosting e servizi di storage, inclusi quelli di MEGA. Questa rete ben organizzata di strumenti e metodi ha permesso ai cybercriminali di archiviare e vendere enormi quantità di dati senza essere facilmente rintracciati, aumentando la complessità dell'intero incidente.
Conseguenze e raccomandazioni per la sicurezza
L'analisi di Mandiant suggerisce che l'incidente non sia da imputare a una gestione inadeguata da parte di Snowflake, anche se alcuni esperti, come Kevin Beaumont, critiche duramente il loro sistema di autenticazione giudicandolo "terribile". Nonostante ciò, le principali responsabilità ricadono sulle aziende vittime, colpevoli di non aver implementato adeguate politiche di sicurezza. Mandiant ha pubblicato indicatori di compromissione e suggerito di monitorare costantemente le credenziali come pratica preventiva. Questo incidente evidenzia l'importanza di aggiornare regolarmente le credenziali di accesso e adotare misure di sicurezza robustIMENTO ALle, come l'autenticazione multifattoriale. Infine, un documento su come rafforzare la sicurezza degli ambienti Snowflake è stato reso disponibile per i clienti, al fine di evitare future compromissioni.
Follow us on Twitter for more pills like this06/11/2024 17:46
Editorial AI