UNC5537 cible les instances des clients Snowflake pour le vol de données et l’extorsion
Mandiant a publié de nouvelles recherches qui révèlent qu’un acteur de menace à motivation financière, identifié sous le nom de UNC5537, cible les clients de Snowflake en utilisant des informations d’identification précédemment volées – principalement obtenues via des logiciels malveillants de type infostealer – pour accéder aux bases de données des clients. À ce jour, Mandiant n’a pas identifié de preuves indiquant que cette activité a été causée par une violation de l’environnement d’entreprise de Snowflake.
Dans le cadre de cette campagne, le hacker utilise un logiciel malveillant, que Mandiant nomme « FROSTBITE », pour effectuer une reconnaissance des instances Snowflake potentiellement exposées. Mandiant et Snowflake ont travaillé conjointement pour notifier les organisations potentiellement exposées et collaborent avec les forces de l’ordre pour enquêter sur cette campagne en cours.
Charles Carmakal, CTO de Mandiant Consulting, déclare « Depuis au moins avril 2024, UNC5537 a utilisé des informations d’identification volées pour accéder à plus de 100 clients de Snowflake. Le hacker systématiquement compromet les instances des clients, télécharge des données, extorque des victimes et met en vente les données des victimes sur des forums cybercriminels. La combinaison de plusieurs facteurs a contribué à la campagne de menaces ciblées, notamment les comptes des clients de Snowflake configurés sans MFA, les informations d’identification volées par des logiciels malveillants (souvent à partir d’ordinateurs personnels), et les instances configurées sans listes d’autorisation du réseau. Il est essentiel que les organisations évaluent leur exposition aux informations d’identification volées par les voleurs d’informations, car nous prévoyons que cet acteur de la menace et d’autres reproduiront cette campagne sur d’autres solutions SaaS »
UNC5537 utilise des données clients volées pour extorquer des victimes et tente simultanément de vendre ces données sur des forums cybercriminels.
La première date d’infection par infostealer observée associée à un identifiant utilisé par l’acteur de la menace remonte à novembre 2020.
Dans certains cas, les compromissions initiales se sont produites sur des systèmes d’employés qui étaient utilisés à la fois pour des activités professionnelles et personnelles.
Mandiant et Snowflake recommandent vivement à leurs clients d’activer le MFA, d’effectuer une rotation des informations d’identification et de mettre en place des listes d’autorisations sur le réseau.
À propos de Mandiant, Inc.
Depuis 2004, Mandiant® est un partenaire de confiance pour les organisations soucieuses de sécurité. Une sécurité efficace repose sur la bonne combinaison d’expertise, d’intelligence et de technologie adaptative, et la plateforme SaaS Mandiant Advantage met à l’échelle des décennies d’expérience de première ligne et de renseignements sur les menaces à la pointe de l’industrie pour offrir une gamme de solutions de cyberdéfense dynamiques. L’approche de Mandiant aide les organisations à développer des programmes de cybersécurité plus efficaces et efficients et leur donne confiance dans leur capacité à se défendre contre les cybermenaces et à y répondre.