Снежная лавина компрометаций может превзойти прошлогодний инцидент с MOVEit Transfer.
Ситуация, разворачивающаяся вокруг компании Snowflake продолжает стремительно набирать обороты. С каждым днём она всё сильнее напоминает прошлогоднюю компрометацию платформы MOVEit Transfer, организованную вымогательской группой Clop. В тот раз жертвами хакеров стали сотни организаций, однако Snowflake не отстаёт, предлагая интернет-общественности схожий масштаб цифровой катастрофы.
Итак, неизвестная финансово мотивированная преступная группа, которую эксперты компании Mandiant отслеживают под кодовым именем UNC5537, похитила значительный объем данных из баз данных клиентов Snowflake, используя украденные учётные данные.
По данным экспертов, до сих пор уведомлено лишь 165 потенциально пострадавших организаций, когда как по факту их может быть гораздо больше. Преступники UNC5537, как сообщается, могут иметь связи с группой Scattered Spider, известной взломами отелей и казино Лас-Вегаса в прошлом году.
В ходе расследования инцидента Mandiant и Snowflake выявили, что утечки данных происходили из-за компрометации учётных данных клиентов. Само корпоративное окружение Snowflake не было взломано.
Первая атака на клиента Snowflake была зафиксирована 14 апреля. В ходе расследования выяснилось, что UNC5537 использовала легитимные учётные данные, украденные ранее с помощью вредоносного ПО, чтобы проникнуть в системы жертвы и похитить данные. У пострадавшего не была включена многофакторная аутентификация.
Примерно через месяц, после обнаружения нескольких компрометаций клиентов, Mandiant и Snowflake начали уведомлять пострадавшие организации. Уже 24 мая преступники стали продавать украденные данные в Интернете, а 30 мая Snowflake выпустила заявление по этому поводу.
Преступники использовали как .NET-, так и Java-версии утилиты, известной как «FROSTBITE», для проведения разведки в системах клиентов Snowflake, идентифицируя пользователей, их роли и IP-адреса. Также использовалась утилита DBeaver Ultimate для выполнения запросов к базам данных.
Некоторые компрометации произошли на устройствах подрядчиков, использовавшихся как для работы, так и для личных целей. Эти устройства представляли значительный риск, так как одно заражение вредоносным ПО могло предоставить доступ злоумышленникам сразу к нескольким организациям.
Все успешные атаки имели три общих черты: отсутствие настроенной многофакторной аутентификации, использование валидных украденных учётных данных, и отсутствие сетевых белых списков.
Отдельно стоит отметить случаи с компаниями Ticketmaster и Santander Bank. Изначально предполагалось, что их массовые утечки данных связаны со взломом Snowflake, но позже это было опровергнуто. В конечном итоге, Snowflake заявила, что были взломаны учётные записи этих клиентов, также по причине использования однофакторной аутентификации.
Позже американская финансовая компания LendingTree подтвердила, что её дочерняя компания QuoteWizard, специализирующаяся на страховании, пострадала в результате взлома. По словам представителя LendingTree, расследование продолжается, и пока не выявлено утечки финансовой информации клиентов или данных самой LendingTree.
Спустя время о взломе заявила и Pure Storage, специализирующаяся на разработке и производстве решений для хранения данных, основанных на флеш-памяти. Компания также подтвердила, что пострадала в результате взлома учётных записей Snowflake. В опубликованном сообщении компания заверила, что клиентские данные не были скомпрометированы, и что взлом касался только одного рабочего пространства Snowflake.
По данным Mandiant, киберпреступная группа UNC5537 использовала учётные данные, украденные с помощью вредоносных программ, начиная с 2020 года. Около 80% всех пострадавших организаций использовали ранее скомпрометированные учётные данные.
Hudson Rock первой обратила внимание на серию взломов клиентов Snowflake. Однако их отчёт быстро был удалён после вмешательства юристов Snowflake, которые оспорили утверждения о взломе учётной записи сотрудника Snowflake. Тем не менее, возможно, если бы не упорство и принципиальность Snowflake, больше компаний сейчас были бы уведомлены о масштабе проблемы и быстрее бы приняли меры для своей защиты.
В будущем мы ещё не раз услышим о том, как та или иная компания подтверждает компрометацию своих систем, связанную с платформой Snowflake. Та же ситуация с MOVEit Transfer напоминала о себе даже спустя год после атаки.
Ладно, не доказали. Но мы работаем над этим