En un desarrollo reciente y preocupante en el ámbito de la ciberseguridad, el grupo de amenazas UNC5537 ha estado apuntando a usuarios de la plataforma de almacenamiento y análisis de datos en la nube, Snowflake, utilizando credenciales robadas. Mandiant ha identificado esta campaña de amenazas dirigida a instancias de bases de datos de clientes de Snowflake con la intención de robar datos y extorsionar. Estos ataques han resultado en significativos robos de datos y actividades de extorsión, poniendo en riesgo a numerosas organizaciones.
Según la firma de seguridad Mandiant, UNC5537 ha utilizado credenciales de clientes robadas para acceder a entornos de Snowflake, centrándose principalmente en aquellos sin autenticación de dos factores (2FA) (ThreatKey) (Help Net Security). Los atacantes emplearon una herramienta personalizada conocida como “rapeflake” para facilitar estos accesos no autorizados, lo que les permitió extraer datos y posteriormente extorsionar a las organizaciones afectadas (ThreatKey).
Los primeros indicios de esta campaña fueron detectados en abril de 2024. Aunque Snowflake no fue contactado directamente por Mandiant, la compañía confirmó accesos no autorizados en mayo de 2024. Los ataques no resultaron de vulnerabilidades o configuraciones incorrectas en el producto de Snowflake, sino de ataques basados en la identidad utilizando credenciales de clientes expuestas (Help Net Security) (Help Net Security).
En respuesta a estos incidentes, Snowflake ha emitido una serie de recomendaciones para mejorar la seguridad de las cuentas, incluyendo:
Snowflake también ha proporcionado indicadores de compromiso (IoCs) y consultas investigativas para ayudar a los clientes a identificar y responder a posibles amenazas (Help Net Security).
Estos ataques resaltan una tendencia creciente en los ataques basados en la identidad y subrayan los desafíos que enfrentan los proveedores de servicios en la nube para asegurar los datos de los clientes. La monitorización continua, la búsqueda de amenazas y las prácticas de seguridad proactivas son esenciales para mitigar estos riesgos (Hive Pro) (Help Net Security).
La campaña del grupo UNC5537 contra los clientes de Snowflake es un recordatorio crucial de la importancia de medidas de seguridad robustas. Las organizaciones deben priorizar la implementación de autenticación multifactor, la monitorización regular de los registros de acceso y controles de acceso estrictos para proteger sus datos. La caza proactiva de amenazas y la vigilancia continua son esenciales para mantenerse al frente de las posibles amenazas de seguridad.
Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…
De los 942,1 millones de dólares que ingresó en el tercer trimestre, 900,3 millones corresponden…
“En 2024 se ha registrado un crecimiento exponencial en los ciberataques, con empresas de todo…
Durante su trimestre más reciente acumuló un total de 35.100 millones de dólares.
Durante su ejercicio fiscal 2024 mejoró un 9 % los ingresos totales subyacentes, por encima…
Ha estrenado oficinas en Zaragoza, está presente en el Parque Tecnológico Walqa y tiene previsto…