Mandiant, sussidiaria di Google incaricata da Snowflake per indagare sul furto dei dati subito da Ticketmaster e altre aziende, ha illustrato in dettaglio la tecnica sfruttata dai cybercriminali per ottenere le credenziali di login alle istanze della piattaforma cloud.
Furto dei dati con estorsione
Mandiant non ha ancora identificato i cybercriminali, quindi ha assegnato il nome temporaneo UNC5537. L’azienda conferma innanzitutto quanto già dichiarato da Snowflake. Il furto dei dati dei clienti di Ticketmaster non è avvenuto a causa di vulnerabilità, errate configurazioni o violazione della piattaforma cloud.
Le credenziali di login alle istanze cloud sono state ottenute attraverso vari infostealer durante attacchi effettuati contro altri sistemi. Gli account dei clienti di Snowflake non erano protetti dall’autenticazione multi-fattore, quindi l’accesso richiedeva solo username e password. Le credenziali non erano state cambiate da molti anni e sulle istanze cloud non era stato impostato il blocco dell’accesso da indirizzi IP sconosciuti.
Mandiant ha scoperto che, in molti casi, le credenziali erano usate anche per account personali. I cybercriminali hanno quindi infettato i computer con noti infostealer (Vidar, RisePro, Redline, Raccoon, Lumma e Metastealer) e rubato le credenziali, successivamente usate per accedere alle istanze cloud.
Sfruttando il tool Frostbite è stata effettuata una “ricognizione” delle istanze per scoprire tutte le informazioni sui database che contenevano i dati degli utenti. Tramite query SQL sono state estratte le tabelle e quindi esfiltrati i dati. I cybercriminali hanno usato le VPN Mullvad o Private Internet Access per nascondere l’indirizzo IP, mentre i dati sono stati conservati su sistemi VPS o sul servizio di cloud storage MEGA.
Snowflake ha comunicato che presto imporrà ai suoi clienti di attivare l’autenticazione multi-fattore o implementare adeguate policy di rete per bloccare l’accesso da fonti sconosciute.