Mandiant ha advertido a los clientes de Snowflake que intensifiquen su juego en lo que respecta a la higiene básica de credenciales, después de revelar evidencia de que más de 160 clientes, incluidos Santander y Ticketmaster, han sido comprometidos en una campaña dirigida por un actor de amenazas con motivación financiera al que rastrea como UNC5537.
Mandiant dijo que UNC5537 estaba comprometiendo sistemáticamente las instancias de los clientes de Snowflake utilizando credenciales robadas, ofreciendo datos robados para la venta en foros de la web oscura e intentando extorsionar a muchas de las víctimas.
Reivindicando a Snowflake, que anteriormente había dicho que no podía identificar ningún compromiso de su propio entorno empresarial, Mandiant dijo que en cada caso que rastreó, el compromiso fue el resultado de una mala higiene de seguridad cibernética en el cliente víctima.
“Desde al menos abril de 2024, UNC5537 ha aprovechado credenciales robadas para acceder a más de 100 inquilinos clientes de Snowflake. El actor de amenazas comprometió sistemáticamente a los inquilinos de los clientes, descargó datos, extorsionó a las víctimas y anunció la venta de datos de las víctimas en foros de ciberdelincuentes”, dijo Charles Carmakal, director de tecnología de Mandiant Consulting.
“La combinación de múltiples factores contribuyó a la campaña de amenazas dirigida, incluidas las cuentas de clientes de Snowflake configuradas sin MFA, las credenciales robadas por malware de robo de información (a menudo desde computadoras personales) y los inquilinos configurados sin listas de red permitidas. Es fundamental que las organizaciones evalúen su exposición a credenciales robadas por parte de ladrones de información, ya que anticipamos que este actor de amenazas y otros replicarán esta campaña en otras soluciones SaaS”.
Mandiant dijo que los ladrones de información utilizados para robar las credenciales de las víctimas se distribuyeron en varias campañas de malware, algunas de las cuales se remontan a 2020. Algunos de los malwares utilizados incluyeron Vidar, Risepro, Redline, Racoon Stealer, Lumma y Metast.
También señaló que las cuentas afectadas no tenían habilitada la autenticación multifactor, lo que hacía que fuera trivial para los actores de amenazas iniciar sesión y, en muchos casos, las credenciales identificadas databan de años atrás y no habían sido rotadas ni actualizadas desde que fueron comprometidas. Los clientes afectados tampoco habían establecido listas de permisos de red para permitir el acceso únicamente desde ubicaciones confiables.
Es preocupante que en muchos casos se determinó que los ladrones de información habían llegado a sistemas informáticos de contratistas externos que también se utilizaban a título personal, incluso para juegos y descargas de software o contenido pirateado.
Mandiant advirtió a las organizaciones que sean más estrictas con la higiene de los contratistas, ya que muchos usan PC personales o no monitoreadas para acceder a los sistemas de múltiples clientes, a menudo con privilegios de administrador elevados, lo que facilita aún más la campaña de UNC5537.
¿Quiénes son UNC5537?
UNC5537 solo ha sido identificado y rastreado formalmente por Mandiant en las últimas semanas, por lo que por ahora solo aparece en la taxonomía de Mandiant.
UNC5537, un actor de amenazas con motivación financiera y sin alineación aparente con ningún estado nación, se ha dirigido a cientos de organizaciones en todo el mundo. Casi todos sus miembros tienen su base en América del Norte, con un colaborador conocido rastreado hasta Turquía, y pueden tener asociaciones con otros grupos.
Operan bajo varios alias, coordinándose a través de canales de Telegram y foros sobre delitos cibernéticos, y acceden principalmente a sus instancias de víctimas utilizando direcciones IP de red privada virtual (VPN) de Mullvad o Private Internet Access (PIA). Los datos robados viajaron a través de servidores privados virtuales (VPS) de Alexhost, con sede en Moldavia, y se almacenaron en los sistemas de varios otros proveedores de VPS y en el proveedor de almacenamiento en la nube Mega.
Mandiant dijo que la campaña de UNC5537 no era particularmente novedosa ni sofisticada, y que el hecho de que haya tenido un impacto tan amplio es más exactamente una consecuencia del creciente uso de ladrones de información, combinado con oportunidades perdidas por parte de las víctimas para protegerse.