El ataque a «Snowflake» podría convertirse en una de las mayores filtraciones de datos de la historia

La semana pasada, gracias a un informe de la compañía Hudson Rock, se supo que la compañía de nube Snowflake había sufrido un ciberataque en el que se robaron datos confidenciales de los clientes de Snowflake, las empresas Ticketmaster y Santander.

Snowflake respondió a la información sobre un posible hackeo de sus sistemas de manera muy negativa. Después de una breve investigación, la empresa declaró que nadie la había hackeado y se envió una solicitud a Hudson Rock para que eliminara el informe de seguridad, ya que supuestamente la información en él «no se correspondía con la realidad».

Sin embargo, resultó que sí se correspondía. Después de involucrar a las empresas Mandiant y CrowdStrike en la investigación, resultó que los ciberdelincuentes realmente intentaron obtener acceso a las cuentas de los clientes de Snowflake utilizando nombres de usuario y contraseñas robadas. Como se puede adivinar, lo lograron con éxito.

En los últimos días, han aparecido varias declaraciones de ciberdelincuentes en el ciberespacio sobre la venta de datos robados de otras dos grandes empresas, supuestamente también obtenidos de los sistemas de Snowflake. Al mismo tiempo, la publicación TechCrunch informó sobre cientos de contraseñas de clientes de Snowflake que se hicieron públicas.

La magnitud del ataque a los clientes de Snowflake, las identidades de los atacantes y el funcionamiento de la herramienta maliciosa «rapeflake» aún no están claros. La mayor parte del incidente con Snowflake se desarrolló en el foro de piratas informáticos BreachForums. El FBI cerró el foro en mayo, pero rápidamente reanudó sus operaciones, y los miembros del grupo ShinyHunters afirmaron haber vendido 560 millones de registros de Ticketmaster y 30 millones de Santander. Probablemente, ShinyHunters esté detrás del hackeo de Snowflake.

Tanto Ticketmaster como Santander confirmaron rápidamente las filtraciones de datos, y ambas indicaron que no habían sido hackeadas directamente, sino que las bases de datos de un proveedor externo fueron comprometidas, que aparentemente en esta situación es Snowflake.

En los últimos días, aparecieron mensajes en BreachForums sobre supuestas filtraciones de datos de Advance Auto Parts (380 millones de registros de clientes) y LendingTree con su subsidiaria QuoteWizard (190 millones de registros). Algunas de las direcciones de correo electrónico publicadas de empleados y clientes de Advance Auto Parts resultaron ser reales.

El representante de Advance Auto Parts, Darryl Carr, declaró que la compañía está investigando una posible filtración relacionada con Snowflake. LendingTree aún no ha comentado la situación.

Snowflake reconoció en su blog que las cuentas cayeron en manos de los ciberdelincuentes debido al uso de nombres de usuario y contraseñas robados por infostealer. La compañía no encontró evidencia de un compromiso de sus empleados y solo detectó acceso a una cuenta de demostración de un ex empleado. Sin embargo, a juzgar por la magnitud de las filtraciones, los hackers tienen el nivel de acceso necesario.

El incidente demuestra la estrecha integración de las empresas que utilizan servicios externos. Según el experto Troy Hunt, es un reconocimiento de lo difícil que es controlar la seguridad de los proveedores externos en el entorno digital actual.

Como respuesta a los ataques, Snowflake recomendó a sus clientes habilitar la autenticación multifactor y permitir el acceso solo desde fuentes autorizadas. Las empresas afectadas por las filtraciones deben restablecer sus contraseñas de Snowflake.

En cuanto a los infostealers que Snowflake culpa por el ataque, su uso para robar nombres de usuario, contraseñas y archivos de dispositivos ha aumentado significativamente en los últimos años, especialmente durante la pandemia. Además, según Ian Gray de Flashpoint, debido a la alta demanda, han surgido numerosos infostealers baratos disponibles prácticamente para cualquier ciberdelincuente.

«Estos programas roban información confidencial de diferentes maneras: cookies, credenciales, tarjetas de crédito, criptomonederos. Y luego, con los datos obtenidos, los hackers intentan acceder a cuentas corporativas», explica Gray.