Snowflake-Kunden von "erheblichem" Datendiebstahl betroffen
Laut den zu Google gehörenden Incidence Respose-Experten von Mandiant steht eine cyberkriminelle Gruppe im Verdacht, Daten von 165 Unternehmen gestohlen zu haben. Fehlende Multi-Faktor-Authentifizierung erleichterte Hackern den Zugang zu den Accounts der Kunden.
Die Angriffe auf Snowflake-Kunden haben weitreichendere Auswirkungen als zunächst angenommen. Es wird vermutet, "dass eine cyberkriminelle Gruppe eine beträchtliche Menge an Datensätzen aus Snowflake-Kundenumgebungen gestohlen hat", so die Security-Forscher von Mandiant, einem großen Incident-Response-Unternehmen, das zu Google Cloud gehört. Insgesamt habe Snowflake und Mandiant bis heute etwa 165 potenziell gefährdete Organisationen benachrichtigt, so die Mandiant-Forscher in dem Beitrag.
Es wird angenommen, dass die Welle von Datendiebstahlsangriffen, die auf Snowflake-Kunden abzielt, mit gestohlenen Passwörtern durchgeführt wird. Zu den betroffenen Kunden gehören Berichten zufolge Ticketmaster, Santander Bank und Advance Auto Parts.
"Die betroffenen Konten waren nicht mit aktivierter Multifaktor-Authentifizierung konfiguriert, was bedeutet, dass für eine erfolgreiche Authentifizierung nur ein gültiger Benutzername und ein Passwort erforderlich waren", bestätigten die Mandiant-Forscher in ihrem Beitrag vom Montag.
Die Forscher von Mandiant stellten fest, dass ihre Untersuchung keine Beweise dafür gefunden habe, dass die Umgebung von Snowflake angegriffen wurde, was die früheren Aussagen von Snowflake bestätigt. "Stattdessen wurde jeder Vorfall, auf den Mandiant im Zusammenhang mit dieser Kampagne reagierte, auf kompromittierte Kundenanmeldedaten zurückgeführt", so die Forscher.
Mandiant führt die Angriffe auf einen bisher unbekannten, finanziell motivierten Bedrohungsakteur zurück, der jetzt als "UNC5537" bezeichnet wird. "UNC5537 kompromittiert systematisch Snowflake-Kundeninstanzen mit gestohlenen Kundenanmeldeinformationen, bietet die Daten der Opfer in Cybercrime-Foren zum Verkauf an und versucht, viele der Opfer zu erpressen", so die Mandian-Forscher.
Die gestohlenen Anmeldedaten stammten hauptsächlich von mehreren Infostealer-Malware-Kampagnen, die Systeme infiziert haben, die nicht zu Snowflake gehören, so die Forscher von Mandiant.
"Die Angriffe begannen mindestens Mitte April. Als Mandiant am 22. Mai zusätzliche Informationen erhielt, die auf eine breitere Angriffswelle auf Snowflake-Kunden hindeutete, setzte sich Mandiant sofort mit Snowflake in Verbindung und begann, potenzielle Opfer über unser Opferbenachrichtigungsprogramm zu warnen".
Auf die Bitte um eine Stellungnahme am Montag verwies ein Snowflake-Sprecher CRN auf eine aktualisierte Erklärung auf der Beratungsseite, die auf den Mandiant-Blog verweist.
"Wir arbeiten weiterhin eng mit unseren Kunden zusammen, während sie ihre Sicherheitsmaßnahmen verstärken, um Cyber-Bedrohungen für ihre Unternehmen zu reduzieren. Wir entwickeln einen Plan, um von unseren Kunden zu verlangen, fortschrittliche Sicherheitskontrollen wie Multi-Faktor-Authentifizierung (MFA) oder Netzwerkrichtlinien zu implementieren", so das Unternehmen in der Erklärung.
Vergangene Woche warnte die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) vor der jüngsten Kampagne von Bedrohungsakteuren, die es auf die Nutzer von Snowflake abgesehen hatten, und forderte die Kunden auf, proaktiv nach bösartigen Aktivitäten zu suchen.