Hakerzy, którzy przeprowadzili atak z terenu USA, przejęli dane należące do ponad 150 firm korzystających z usług firmy Snowflake. Ich metoda działania jest prosta. Po przeprowadzeniu ataku próbują zawsze wymusić okup w zamian za odzyskanie plików lub grożą, że w przypadku niespełnienie tego żądania opublikują je w internecie.

Śledztwo wykazało, że za incydent nie odpowiada firma Snowflake, gdyż hakerzy posłużyli się danymi uwierzytelniającymi jej klientów, które zostały wcześniej skradzione z zewnętrznych systemów. Zaatakowane instancje klientów firmy Snowflake nie dość iż nie były chronione przez system uwierzytelniania wieloskładnikowego, ale nie towarzyszyła im również lista znanych sieci, które mogły mieć do nich dostęp. Hakerzy uzyskiwali dostęp do instancji za pomocą natywnego, internetowego interfejsu użytkownika.

Zobacz również:

• Antydron w usłudze - nowy sposób na zabezpieczenie infrastruktury krytycznej
• Aresztowano sprawców zuchwałego włamania do sieci Etherum
• Snowflake pracuje nad wzmocnieniem kontroli bezpieczeństwa

Madiant podkreśla, że ataki grupy UNC5537 na instancje klientów firmy Snowflake nie bazują na jakimś szczególnie nowatorskim scenariuszu. Wszystko wskazuje na to iż ataki zaczęły się już w połowie kwietnia, a ich celem były konta, które nie posiadały odpowiednich zabezpieczeń wykorzystujących uwierzytelnianie dwuskładnikowe. Mandiant twierdzi, że niektóre dane uwierzytelniające użyte w kampanii zostały skradzione wiele lat temu z użyciem szeregu złośliwych programów, takich Lumma, Meta czy Racoon Stealer.

Snowflake nie wymaga od swoich klientów domyślnego używania dodatkowych funkcji bezpieczeństwa, takich jak zamierza uwierzytelnianie dwuskładnikowe. Po wykryciu ataku firma oświadczyła jedynie, że wdroży w najbliższej przyszłości regulamin mający na celu zmuszenie klientów do tego, aby stosowali uwierzytelnienie dwuskładnikowe, co znakomicie utrudni życie hakerom. Nie podała jednak szczegółowego harmonogramu wprowadzenia w życie takiego wymogu.