En un desarrollo reciente y preocupante en el ámbito de la ciberseguridad, el grupo de amenazas UNC5537 ha estado apuntando a usuarios de la plataforma de almacenamiento y análisis de datos en la nube, Snowflake, utilizando credenciales robadas. Mandiant ha identificado esta campaña de amenazas dirigida a instancias de bases de datos de clientes de Snowflake con la intención de robar datos y extorsionar. Estos ataques han resultado en significativos robos de datos y actividades de extorsión, poniendo en riesgo a numerosas organizaciones.
Según la firma de seguridad Mandiant, UNC5537 ha utilizado credenciales de clientes robadas para acceder a entornos de Snowflake, centrándose principalmente en aquellos sin autenticación de dos factores (2FA) (ThreatKey) (Help Net Security). Los atacantes emplearon una herramienta personalizada conocida como “rapeflake” para facilitar estos accesos no autorizados, lo que les permitió extraer datos y posteriormente extorsionar a las organizaciones afectadas (ThreatKey).
Los primeros indicios de esta campaña fueron detectados en abril de 2024. Aunque Snowflake no fue contactado directamente por Mandiant, la compañía confirmó accesos no autorizados en mayo de 2024. Los ataques no resultaron de vulnerabilidades o configuraciones incorrectas en el producto de Snowflake, sino de ataques basados en la identidad utilizando credenciales de clientes expuestas (Help Net Security) (Help Net Security).
En respuesta a estos incidentes, Snowflake ha emitido una serie de recomendaciones para mejorar la seguridad de las cuentas, incluyendo:
Snowflake también ha proporcionado indicadores de compromiso (IoCs) y consultas investigativas para ayudar a los clientes a identificar y responder a posibles amenazas (Help Net Security).
Estos ataques resaltan una tendencia creciente en los ataques basados en la identidad y subrayan los desafíos que enfrentan los proveedores de servicios en la nube para asegurar los datos de los clientes. La monitorización continua, la búsqueda de amenazas y las prácticas de seguridad proactivas son esenciales para mitigar estos riesgos (Hive Pro) (Help Net Security).
La campaña del grupo UNC5537 contra los clientes de Snowflake es un recordatorio crucial de la importancia de medidas de seguridad robustas. Las organizaciones deben priorizar la implementación de autenticación multifactor, la monitorización regular de los registros de acceso y controles de acceso estrictos para proteger sus datos. La caza proactiva de amenazas y la vigilancia continua son esenciales para mantenerse al frente de las posibles amenazas de seguridad.
El desarrollo de la Smart City en España es crucial, ya que 4 de cada…
La ciberseguridad es un desafío cada vez mayor con el usuario como punto más débil,…
Girará en torno a tres temáticas: desinformación, contrainteligencia y credenciales expuestas.
El 57 % de las compañías españolas está manteniendo este año su nivel de inversión…
Entre los problemas a los que se enfrentan las compañías con infraestructura distribuida geográficamente se…
Juniper Research prevé un incremento del 50 % en el tráfico de mensajes para 2025.