Se hackean 165 organizaciones: el caso de Snowflake establece nuevos récords digitales

La situación que se desarrolla en torno a la empresa Snowflake continúa ganando un impulso vertiginoso. Con cada día, se asemeja más al hackeo de la plataforma MOVEit Transfer del año pasado, orquestado por el grupo de extorsión Clop. En ese momento, cientos de organizaciones cayeron víctimas de los hackers, pero Snowflake no se queda atrás, ofreciendo a la comunidad en línea una catástrofe digital de escala similar.

Un grupo criminal financieramente motivado desconocido, que los expertos de la empresa Mandiant rastrean con el nombre clave UNC5537, robó una cantidad significativa de datos de las bases de datos de los clientes de Snowflake, utilizando credenciales robadas.

Según los expertos, hasta ahora solo se ha notificado a 165 organizaciones potencialmente afectadas, cuando en realidad podría haber muchas más. Se informa que los delincuentes de UNC5537 pueden tener vínculos con el grupo Scattered Spider, conocido por los hackeos a hoteles y casinos de Las Vegas el año pasado.

Durante la investigación del incidente, Mandiant y Snowflake descubrieron que las fugas de datos ocurrieron debido al compromiso de las credenciales de los clientes. El entorno corporativo de Snowflake en sí no fue hackeado.

El primer ataque a un cliente de Snowflake se registró el 14 de abril. Durante la investigación, se descubrió que UNC5537 utilizó credenciales legítimas, robadas anteriormente a través de malware, para ingresar a los sistemas de la víctima y robar datos. La víctima no tenía habilitada la autenticación multifactor.

Aproximadamente un mes después, luego de descubrir varios compromisos de clientes, Mandiant y Snowflake comenzaron a notificar a las organizaciones afectadas. Ya para el 24 de mayo, los delincuentes comenzaron a vender los datos robados en Internet, y el 30 de mayo, Snowflake emitió una declaración al respecto.

Los criminales utilizaron versiones tanto de .NET como de Java de una utilidad conocida como «FROSTBITE» para realizar reconocimiento en los sistemas de los clientes de Snowflake, identificando usuarios, sus roles y direcciones IP. También se utilizó la utilidad DBeaver Ultimate para ejecutar consultas en las bases de datos.

Algunos compromisos ocurrieron en dispositivos de contratistas que se utilizaban tanto para trabajo como para fines personales. Estos dispositivos representaban un riesgo significativo, ya que una sola infección de malware podría dar acceso a los atacantes a varias organizaciones.

Todos los ataques exitosos tenían tres características en común: falta de autenticación multifactor configurada, uso de credenciales válidas robadas y falta de listas blancas de red.

Vale la pena mencionar los casos de las empresas Ticketmaster y Santander Bank por separado. Inicialmente, se suponía que sus filtraciones masivas de datos estaban relacionadas con el hackeo de Snowflake, pero esto fue refutado posteriormente. Finalmente, Snowflake declaró que las cuentas de estos clientes habían sido hackeadas, también debido al uso de autenticación de un solo factor.

Más tarde, la compañía financiera estadounidense LendingTree confirmó que su subsidiaria QuoteWizard, especializada en seguros, se vio afectada por el hackeo. Según un representante de LendingTree, la investigación continúa y no se ha detectado ninguna filtración de información financiera de los clientes ni datos de LendingTree.

Con el tiempo, Pure Storage, especializada en el desarrollo y fabricación de soluciones de almacenamiento de datos basadas en memoria flash, también anunció un hackeo. La compañía también confirmó que fue víctima de un hackeo de las cuentas de Snowflake. En un comunicado publicado, la empresa aseguró que los datos de los clientes no fueron comprometidos y que el hackeo solo afectó a un espacio de trabajo de Snowflake.

Según Mandiant, el grupo cibercriminal UNC5537 ha estado utilizando credenciales robadas a través de malware desde 2020. Alrededor del 80% de todas las organizaciones afectadas usaban credenciales previamente comprometidas.

Hudson Rock fue la primera en llamar la atención sobre una serie de hackeos a clientes de Snowflake.No obstante, su informe fue rápidamente eliminado después de la intervención de los abogados de Snowflake, quienes impugnaron las afirmaciones de que se había hackeado la cuenta de un empleado de Snowflake. Sin embargo, es posible que, de no ser por la obstinación y principios de Snowflake, más compañías habrían sido notificadas sobre la magnitud del problema y habrían tomado medidas más rápidamente para protegerse.

En el futuro, seguiremos escuchando cómo una compañía u otra confirma el compromiso de sus sistemas relacionado con la plataforma Snowflake. La situación con MOVEit Transfer seguía recordándose incluso un año después del ataque.