Parece ser que, un ataque contra clientes de la empresa de almacenamiento en la nube Snowflake, podría convertirse en una de las mayores violaciones de datos (data breach) de la historia. Hace algunos días, Snowflake, la cual permite a las empresas almacenar monumentales conjuntos de datos en sus servidores, reveló que piratas informáticos habían intentado acceder a las cuentas de sus clientes usando datos de inicio de sesión robados.
Es de resaltar que, las violaciones de datos (data breach) dirigidas a Ticketmaster y Santander se han relacionado con los ataques.
Todos los detalles acerca del data breach
Sin embargo, en los días transcurridos desde que Snowflake comentó por primera vez que se había accedido a un “número limitado” de cuentas de clientes, los ciberdelincuentes aseveraron públicamente estar vendiendo datos robados de otras 2 empresas importantes y alegaron que la información fue tomada de las cuentas de Snowflake. Al mismo tiempo, desde el medio de noticias TechCrunch, han informado que se han hallado en línea cientos de contraseñas de clientes de Snowflake y son accesibles para los ciberdelincuentes.
Vale la pena señalar que, en medio de las afirmaciones, continúa habiendo incertidumbre sobre el alcance y la escala del intento de ataque contra los clientes de Snowflake, quiénes pueden ser los atacantes y cómo opera una herramienta de ataque cruelmente denominada “rapeflake”. Igualmente subraya el crecimiento en el uso de malware de robo de información en los últimos años y recalca la necesidad de que los proveedores de software y las empresas de terceros activen la autenticación multifactor para disminuir las posibilidades de que las cuentas se vean comprometidas.
Bola de nieve
Hasta el momento, una gran proporción del drama de Snowflake se ha desarrollado en el famoso mercado de delitos cibernéticos BreachForums. El FBI se apoderó del foro a mediados del mes de mayo, sin embargo, rápidamente apareció otra versión, y sus propietarios, el grupo de hackers ShinyHunters, afirmaron estar vendiendo 560 millones de discos de Ticketmaster y 30 millones de Santander. Ambas compañías han mencionado que han sufrido violaciones de datos, y Ticketmaster vinculó directamente el incidente con Snowflake, mientras que Santander señaló que había visto acceso no autorizado a una de sus bases de datos “alojada por un proveedor externo”. Por el momento, ninguna compañía ha confirmado la magnitud de las infracciones.
En los últimos días, una cuenta de BreachForums con el nombre de “Sp1d3r” ha publicado dos empresas más cuyos datos, según alega, se encuentran relacionados con el incidente de Snowflake: Advance Auto Parts, del que Sp1d3r alega tener 380 millones de datos de clientes, y la empresa de servicios financieros LendingTree y su filial QuoteWizard, de la que asevera tener datos vinculados a 190 millones de personas.
Es de resaltar que, algunas direcciones de correo electrónico del personal de Advance Auto Parts y de los clientes enumeradas en los datos de muestra del pirata informático parecen ser cuentas legítimas; los correos electrónicos que la gente de WIRED envió a esas direcciones no rebotaron ni fueron rechazados. BleepingComputer informa que ha comprobado datos de clientes de Advance Auto Parts.
“Somos conscientes de los informes de que Advance puede estar involucrado en un incidente de seguridad relacionado con Snowflake”, le dice al medio de noticias WIRED, Darryl Carr, portavoz de la compañía.
Así mismo añadió, “Estamos investigando el asunto y no tenemos más información para compartir en este momento. No hemos experimentado ningún impacto en nuestras operaciones o sistemas”.
Cabe destacar que Ni LendingTree ni Advance Auto Parts han presentado notificaciones de incumplimiento ante la Comisión de Bolsa y Valores al momento de escribir este artículo. Snowflake ha incluido a ambas empresas como clientes anteriormente.
Por su parte, un portavoz de LendingTree corroboró en una declaración al medio de noticias WIRED que la empresa usa Snowflake “para operaciones comerciales” y que se notificó a la empresa que su filial QuoteWizard “puede haber tenido datos afectados por este incidente”. El portavoz de LendingTree ha señalado que se está llevando a cabo una investigación interna.
“A partir de este momento, no parece que la información de la cuenta financiera del consumidor se haya visto afectada, ni la información de la entidad matriz, LendingTree”, indica el portavoz.
Desde que Snowflake reconoció que las cuentas habían sido atacadas, suministró más información sobre el incidente. Brad Jones, director de seguridad de la información de Snowflake, expresó en una publicación de blog que los actores de amenazas usaron datos de inicio de sesión en cuentas que habían sido “compradas u obtenidas a través de malware de robo de información”, que se encuentra diseñado para extraer nombres de usuario y contraseñas de dispositivos que han sido comprometidos.
El incidente parece ser una “campaña dirigida a usuarios con autenticación de un solo factor”, añadió Jones.
Ahora bien, la publicación de Jones decía que Snowflake, junto con las empresas de ciberseguridad CrowdStrike y Mandiant, que empleó para investigar el incidente, no halló evidencia que demuestre que el ataque fue “causado por credenciales comprometidas del personal actual o anterior de Snowflake”. Sin embargo, hay que destacar que descubrió que se accedió a las cuentas de demostración de un ex empleado, alegando que no contenían datos confidenciales.
Cuando se le preguntó sobre posibles violaciones de datos de empresas concretas, un portavoz de Snowflake señaló la declaración de Jones: “No hemos identificado evidencia que sugiera que esta actividad fue causada por una vulnerabilidad, mala configuración o violación de la plataforma de Snowflake”. Cita textual
En una declaración de seguimiento, la compañía aclaró lo que quería decir con “violación”: “Cualquiera de las cuentas de nuestros clientes a las que se accedió como resultado de credenciales filtradas no es causada por… Snowflake”, dijo un portavoz. (La compañía de seguridad Hudson Rock comentó que eliminó una publicación de investigación que incluía varias afirmaciones no verificadas sobre el incidente de Snowflake luego de recibir una carta legal de Snowflake).
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos ha emitido una alerta sobre el incidente de Snowflake, mientras que el Centro de Seguridad Cibernética de Australia comentó que esta “consciente de compromisos exitosos de varias empresas que utilizan entornos Snowflake”.
Orígenes poco claros
Vale la pena destacar que, poco se sabe sobre los datos publicitarios de la cuenta “Sp1d3r” en BreachForums, y hasta el momento, no está claro si ShinyHunters obtuvo los datos que estaba vendiendo de otra fuente o directamente de las cuentas Snowflake de las víctimas; la información sobre una vulneración de Ticketmaster y Santander se publicó originalmente en otro foro sobre delitos cibernéticos por un nuevo usuario denominado “SpidermanData”.
La cuenta “Sp1d3r” publicó en BreachForums que los 2 terabytes de supuestos datos de LendingTree y QuoteWizard estaban a la venta por 2 millones de dólares; mientras que 3 TB de datos aparentemente de Advance Auto Parts le costarían a alguien 1,5 millones de dólares.
“El precio fijado por el actor de amenazas parece extremadamente alto para una lista típica publicada en BreachForums”, indica Chris Morgan, analista senior de inteligencia de amenazas cibernéticas en la firma de seguridad ReliaQuest.
Morgan señala que la legitimidad de “Sp1d3r” no está clara; sin embargo, indica que hay un guiño al grupo de hackers adolescentes Scattered Spider.
Comentó, “Curiosamente, la foto de perfil del actor de amenazas está tomada de un artículo que hace referencia al grupo de amenazas Scattered Spider, aunque no está claro si se trata de hacer una asociación intencional con el grupo de amenazas”.
Aunque la fuente exacta de las presumidas violaciones de datos no está clara, el incidente destaca cuán interconectadas pueden estar las empresas cuando dependen de productos y servicios de proveedores externos.
Como parte de su respuesta a los ataques, Snowflake les ha dicho a todos los clientes que se aseguren de aplicar la autenticación multifactor en todas las cuentas y permitir el tráfico solo de usuarios o ubicaciones autorizadas. Las empresas que se han visto afectadas también tienen que restablecer sus credenciales de inicio de sesión de Snowflake. Habilitar la autenticación multifactor disminuye considerablemente las posibilidades de que las cuentas en línea se vean comprometidas. Como se mencionó, TechCrunch informó hace un par de días, que ha visto “cientos de supuestas credenciales de clientes de Snowflake” tomadas mediante el robo de información de malware de las computadoras de personas que han accedido a cuentas de Snowflake.
Por si no lo sabía, en los últimos años, coincidiendo con un mayor número de personas trabajando desde casa desde la pandemia de Covid-19, ha habido un aumento en el uso de malware de robo de información.
“Los ladrones de información se han vuelto más populares porque tienen una gran demanda y son bastante fáciles de crear”, expresa Ian Gray, vicepresidente de inteligencia de la empresa de seguridad Flashpoint.
Se ha percibido que los piratas informáticos copian o modifican ladrones de información existentes y los venden por tan solo $10 por todos los detalles de inicio de sesión, cookies, así como archivos y más de un dispositivo infectado.
Gray afirma, “Este malware se puede distribuir de diferentes maneras y apunta a información confidencial como datos del navegador (cookies y credenciales), tarjetas de crédito y billeteras criptográficas. Los piratas informáticos podrían revisar los registros en busca de credenciales empresariales para ingresar a las cuentas sin permiso”.
