Random Access Noticias

Noticias de tecnología, Innovación, Celulares, Gaming, eSports y más.

Ataques a cuentas de Snowflake causados ​​por credenciales legítimas expuestas

Juan Morell09 minutos
Ataques a cuentas de Snowflake causados ​​por credenciales legítimas expuestas

COMENTARIO

Los piratas informáticos acaban de cometer una de las mayores violaciones de datos de 2024 y ni siquiera necesitaron piratear el entorno de la empresa. ¿Su objetivo? Roba datos de sistemas de almacenamiento en la nube y extorsiona a las víctimas.

La campaña contra Copo de nieve Los ataques de cibercrimen contra clientes no son el resultado de tácticas, técnicas o procedimientos (TTP) nuevos o sofisticados. En cambio, los actores maliciosos detrás de la campaña compraron o encontraron credenciales legítimas expuestas que ya estaban disponibles y las utilizaron para iniciar sesión. Para cuentas sin autenticación multifactor (MFA), eso es todo lo que se necesita. Campaña de copo de nieve presenta otro caso de uso convincente para la gestión de credenciales y una advertencia sobre los peligros de los ladrones de información y las credenciales robadas.

A finales de mayo de 2024, un actor de amenazas con motivación financiera, identificado como UNC5537, comenzó a vender datos de Ticketmaster y Santander en un foro de ciberdelincuencia, alegando que habían violado la Plataforma de almacenamiento de datos en la nube Snowflake.

El análisis realizado por Snowflake y Mandiant identificó que las cuentas de clientes individuales se vieron comprometidas utilizando credenciales de clientes robadas. Según Mandiant, el actor de amenazas podría haber accedido a las cuentas de aproximadamente 165 empresas utilizando estas credenciales expuestas.

Conclusiones clave

Algunos puntos clave para recordar:

  1. Las cuentas afectadas no estaban configuradas con MFA. La autenticación exitosa solo requería un nombre de usuario y una contraseña válidos, lo que facilitaba a los actores maliciosos el acceso a cuentas específicas.

  2. L’analyse a montré que certaines des informations d’identification identifiées dans les résultats du malware infostealer étaient en vente sur le Dark Web depuis des années et étaient toujours valides, ce qui signifie que ces informations d’identification n’avaient pas été renouvelées ou actualizaciones. Los infostealers son un tipo de malware diseñado para robar información confidencial de dispositivos infectados, lo que puede provocar acceso no autorizado y robo de datos. En el caso de los ataques de Snowflake, los ladrones de información capturaron las credenciales de inicio de sesión de los clientes de Snowflake a través de dispositivos infectados, lo que permitió a los atacantes acceder a las cuentas de los clientes y a los datos almacenados en la plataforma. Además, un ladrón de información podría extraer información confidencial del cliente, incluidos datos personales, registros financieros e información comercial.

  3. Las instancias de Snowflake comprometidas no tenían listas de redes permitidas. Crear una lista de entidades autorizadas implica compilar una lista de entidades autorizadas, como direcciones IP, dominios y aplicaciones. Sólo las entidades de esta lista designada tienen acceso a un recurso específico o pueden realizar acciones específicas. Este enfoque ayuda a mejorar la seguridad al reducir la superficie de ataque y limitar el acceso a entidades aprobadas y verificadas.

Dado el rotundo éxito de esta campaña y la profundidad y amplitud de los datos que normalmente están disponibles de los proveedores de almacenamiento en la nube, podemos esperar un aumento en los intentos de piratear credenciales similares. Ahora es el momento de verificar que sus controles de seguridad asociados (como las políticas de contraseñas) sean lo más seguros posible para evitar una posible exposición.

Cómo reforzar las defensas

¿Cómo puedes fortalecer tus defensas contra este tipo de ataques?

  • Habilite MFA. La autenticación multifactor (MFA) es una medida simple pero muy eficaz que puede mejorar significativamente la seguridad y la resiliencia de una organización. Las credenciales se pueden robar mediante phishing o malware, como ladrones de información. Sin embargo, la autenticación multifactor agrega una capa adicional de seguridad al requerir más que una simple contraseña para acceder a una cuenta, lo que dificulta los ataques de acceso no autorizados.

  • Administre sus datos de inicio de sesión. Siempre que sea posible, su organización debe monitorear la Dark Web en busca de credenciales expuestas. Esto se puede hacer a través de un proveedor, monitoreo de crédito u otros medios. Si recibe una notificación de que su información personal se ha visto comprometida, es importante actuar lo antes posible para evaluar el riesgo y determinar los próximos pasos apropiados, posiblemente incluido el cambio de contraseña.

  • Supervise las campañas online dirigidas a sus proveedores. Establezca un seguimiento a través de informes de código abierto u otros medios para obtener alertas tempranas sobre campañas de ciberataques que podrían apuntar a sus proveedores de servicios críticos. Utilice la notificación previa para cambiar las credenciales y confirmar el cumplimiento de la política en sus relaciones con la empresa correspondiente.

El reciente Copo de nieve Los ataques a cuentas resaltan la importancia crítica de una gestión sólida de credenciales y una autenticación multifactor para proteger los sistemas de almacenamiento en la nube. Dado que es probable que aumenten la frecuencia y la escala de los ataques basados ​​en credenciales, ahora es el momento de que las organizaciones fortalezcan sus defensas y garanticen que sus prácticas de seguridad sean resistentes frente a las amenazas en constante evolución.

Noticias relacionadas