En una reciente serie de ciberataques, un actor malicioso ha afirmado haber robado datos tras hackear la cuenta de un empleado de la empresa de almacenamiento en la nube Snowflake, vinculando estas acciones a las brechas de seguridad en Santander y Ticketmaster. Sin embargo, Snowflake ha negado estas afirmaciones, señalando que las brechas fueron causadas por cuentas de clientes mal aseguradas.
Detalles del Incidente
Snowflake, una plataforma de datos en la nube utilizada por más de 9,400 clientes a nivel mundial, incluyendo gigantes como Adobe, AT&T, y Mastercard, ha sido mencionada en los recientes incidentes de seguridad. Un hacker afirmó haber accedido a datos de múltiples empresas de alto perfil utilizando los servicios de Snowflake, incluyendo Anheuser-Busch, State Farm y Mitsubishi.
Método de Ataque
Según la firma de ciberseguridad Hudson Rock, el hacker logró evitar el proceso de autenticación segura de Okta al acceder a la cuenta de ServiceNow de un empleado de Snowflake mediante credenciales robadas. Utilizando estas credenciales, el atacante generó tokens de sesión que permitieron la exfiltración de datos de los clientes de Snowflake.
El atacante afirmó haber intentado extorsionar a Snowflake para que comprara los datos robados por $20 millones, pero no recibió respuesta de la empresa.
Respuesta de Snowflake
Snowflake ha declarado que los ataques recientes fueron resultado del compromiso de cuentas de clientes y no de vulnerabilidades o fallos en sus productos. La empresa señaló un aumento en los ataques dirigidos a algunas de sus cuentas a partir de mediados de abril de 2024, y que estos ataques se observaron en mayor medida a partir del 23 de mayo de 2024.
Brad Jones, CISO de Snowflake, afirmó que no creen que la actividad esté relacionada con alguna vulnerabilidad o actividad maliciosa dentro del producto de Snowflake. La empresa ha recomendado encarecidamente a sus clientes que habiliten la autenticación multifactor (MFA) para proteger sus cuentas.
Recomendaciones de Seguridad
Snowflake ha publicado un boletín de seguridad con Indicadores de Compromiso (IoCs), consultas de investigación y consejos sobre cómo los clientes potencialmente afectados pueden asegurar sus cuentas. Uno de los IoCs indica que los atacantes crearon una herramienta personalizada llamada ‘RapeFlake’ para exfiltrar datos de las bases de datos de Snowflake.
Además, se observó que los atacantes se conectaron a las bases de datos utilizando la herramienta de gestión de datos DBeaver Ultimate, con registros que mostraban conexiones de clientes desde el agente de usuario ‘DBeaver_DBeaverUltimate’.
Conclusión
Estos incidentes subrayan la importancia de implementar medidas de seguridad robustas, como la autenticación multifactor y restricciones basadas en IP, para proteger los datos sensibles almacenados en soluciones SaaS. Snowflake continúa investigando los ataques y colaborando con los clientes afectados para mitigar los impactos y prevenir futuros incidentes.
