Un attacco informatico ha colpito i clienti di Snowflake, esponendo dati di 165 aziende. Scopri i dettagli e le implicazioni.
Recentemente, un attacco informatico ha preso di mira i clienti di Snowflake, una nota azienda di archiviazione dati, esponendo potenzialmente i dati di ben 165 organizzazioni. Secondo quanto riportato da Mandiant, una divisione di Google specializzata in sicurezza informatica, l’operazione ha coinvolto numerose aziende di rilievo, tra cui Ticketmaster, Santander Group e Advance Auto Parts, e ha avuto un impatto su un numero enorme di individui, potenzialmente centinaia di milioni.
Le indagini di Mandiant hanno rivelato che gli attacchi sono stati condotti da un gruppo di hacker identificato come UNC5537, noto per essere motivato finanziariamente e focalizzato sull’estorsione. Questo gruppo ha sfruttato credenziali raccolte tramite malware infostealer, prendendo di mira account Snowflake che non avevano abilitato l’autenticazione a più fattori e istanze di clienti Snowflake senza restrizioni sull’accesso da località non fidate. Alcune delle credenziali utilizzate negli attacchi risalivano a diversi anni fa.
Snowflake ha dichiarato di essere al lavoro per richiedere ai propri clienti di implementare l’autenticazione a più fattori, una misura che potrebbe prevenire futuri attacchi simili. Nonostante Snowflake stessa non sia stata compromessa, la mancanza di misure di sicurezza adeguate da parte dei clienti ha permesso agli hacker di accedere ai dati sensibili.
Il primo segnale dell’attività del gruppo UNC5537 risale al 14 aprile, quando Mandiant ha iniziato a indagare su dati rubati da un database sconosciuto. Entro il 14 maggio, Mandiant aveva identificato diverse istanze di clienti Snowflake compromesse e, insieme a Snowflake, ha notificato le forze dell’ordine il 22 maggio. Il 24 maggio, i dati dei clienti di Snowflake sono stati messi in vendita online, con un utente che ha pubblicato informazioni su 30 milioni di clienti del Santander Group in un forum di cybercrime in lingua russa.
Il malware infostealer utilizzato negli attacchi è progettato per raccogliere credenziali e altri dati dai browser o dai siti web infetti. Varianti di questo malware, come VIDAR, RISEPRO, REDLINE, RACOON STEALER, LUMMA e METASTEALER, sono ampiamente diffuse, con decine di milioni di combinazioni di nome utente e password disponibili per la vendita. Questi malware sono spesso inclusi in software trojanizzati su dispositivi aziendali o personali.
In diversi casi legati a Snowflake, Mandiant ha osservato che il compromesso iniziale del malware infostealer è avvenuto su sistemi di appaltatori utilizzati anche per attività personali, come il gaming e il download di software piratato. Questo evidenzia l’importanza di mantenere separati gli ambienti di lavoro e personali e di adottare pratiche di sicurezza rigorose.
La minaccia rappresentata dal malware infostealer è pervasiva e continua a evolversi, rendendo essenziale per le aziende implementare misure di sicurezza avanzate come l’autenticazione a più fattori e la restrizione degli accessi da località non fidate. Solo attraverso un approccio proattivo alla sicurezza informatica è possibile mitigare i rischi associati a queste minacce.