UNC5537 apunta a usuarios de Snowflake para robo de datos y extorsión

Antonio Adrados Herrero,
Linkedin
UNC5537 apunta a usuarios de Snowflake para robo de datos y extorsión

El grupo de ciberamenazas UNC5537 está utilizando credenciales robadas para acceder a bases de datos de Snowflake, causando robo de datos y extorsión.

En un desarrollo reciente y preocupante en el ámbito de la ciberseguridad, el grupo de amenazas UNC5537 ha estado apuntando a usuarios de la plataforma de almacenamiento y análisis de datos en la nube, Snowflake, utilizando credenciales robadas. Mandiant ha identificado esta campaña de amenazas dirigida a instancias de bases de datos de clientes de Snowflake con la intención de robar datos y extorsionar. Estos ataques han resultado en significativos robos de datos y actividades de extorsión, poniendo en riesgo a numerosas organizaciones.

Detalles del Ataque

Según la firma de seguridad Mandiant, UNC5537 ha utilizado credenciales de clientes robadas para acceder a entornos de Snowflake, centrándose principalmente en aquellos sin autenticación de dos factores (2FA)​ (ThreatKey)​​ (Help Net Security)​. Los atacantes emplearon una herramienta personalizada conocida como “rapeflake” para facilitar estos accesos no autorizados, lo que les permitió extraer datos y posteriormente extorsionar a las organizaciones afectadas​ (ThreatKey)​.

Los primeros indicios de esta campaña fueron detectados en abril de 2024. Aunque Snowflake no fue contactado directamente por Mandiant, la compañía confirmó accesos no autorizados en mayo de 2024. Los ataques no resultaron de vulnerabilidades o configuraciones incorrectas en el producto de Snowflake, sino de ataques basados en la identidad utilizando credenciales de clientes expuestas​ (Help Net Security)​​ (Help Net Security)​.

Respuesta y Mitigación

En respuesta a estos incidentes, Snowflake ha emitido una serie de recomendaciones para mejorar la seguridad de las cuentas, incluyendo:

  • Aplicación de Autenticación Multifactor (MFA): Asegurar que todas las cuentas, especialmente aquellas que acceden a datos críticos, estén protegidas por MFA.
  • Revisión de Registros de Acceso: Monitorear regularmente los intentos de inicio de sesión y los registros de acceso para detectar actividades inusuales.
  • Segmentación de la Red: Restringir el acceso a los entornos de Snowflake mediante la segmentación de la red y la lista blanca de direcciones IP.

Snowflake también ha proporcionado indicadores de compromiso (IoCs) y consultas investigativas para ayudar a los clientes a identificar y responder a posibles amenazas​ (Help Net Security)​.

Implicaciones Más Amplias

Estos ataques resaltan una tendencia creciente en los ataques basados en la identidad y subrayan los desafíos que enfrentan los proveedores de servicios en la nube para asegurar los datos de los clientes. La monitorización continua, la búsqueda de amenazas y las prácticas de seguridad proactivas son esenciales para mitigar estos riesgos​ (Hive Pro)​​ (Help Net Security)​.

La campaña del grupo UNC5537 contra los clientes de Snowflake es un recordatorio crucial de la importancia de medidas de seguridad robustas. Las organizaciones deben priorizar la implementación de autenticación multifactor, la monitorización regular de los registros de acceso y controles de acceso estrictos para proteger sus datos. La caza proactiva de amenazas y la vigilancia continua son esenciales para mantenerse al frente de las posibles amenazas de seguridad.