Getty Images
Pas moins de 165 clients du fournisseur de stockage cloud Snowflake ont été compromis par un groupe qui a obtenu des identifiants de connexion grâce à un logiciel malveillant volant des informations, ont indiqué des chercheurs lundi.
Vendredi, QuoteWizard, filiale de Lending Tree, a confirmé qu’elle faisait partie des clients informés par Snowflake qu’elle avait été touchée par l’incident. La porte-parole de Lending Tree, Megan Greuling, a déclaré que la société était en train de déterminer si les données stockées sur Snowflake avaient été volées.
« Cette enquête est en cours », a-t-elle écrit dans un e-mail. « Pour l’instant, il ne semble pas que les informations sur les comptes financiers des consommateurs aient été affectées, ni les informations de l’entité mère, Lending Tree. »
Des chercheurs de Mandiant, une société de sécurité appartenant à Google et engagée par Snowflake pour enquêter sur cette compromission massive, ont déclaré lundi que les sociétés avaient jusqu’à présent identifié 165 clients dont les données pourraient avoir été volées lors de cette frénésie. Live Nation a confirmé il y a 10 jours que les données stockées par son groupe TicketMaster sur Snowflake avaient été volées à la suite d’une publication proposant la vente des noms complets, adresses, numéros de téléphone et numéros partiels de carte de crédit de 560 millions de clients Ticketmaster.
Santander, la plus grande banque espagnole, a récemment déclaré que les données appartenant à certains de ses clients avaient également été volées. Le même groupe annonçant les données de Ticketmaster a proposé la vente des données de Santander. Des chercheurs de la société de sécurité Hudson Rock ont déclaré que les données volées étaient également stockées sur Snowflake. Santander n’a ni confirmé ni nié cette affirmation.
Le message de Mandiant de lundi indiquait que toutes les compromissions suivies jusqu’à présent résultaient du vol des identifiants de connexion aux comptes Snowflake par un logiciel malveillant infostealer et stockés dans de vastes journaux, parfois pendant des années. Aucun des comptes concernés n’a utilisé l’authentification multifacteur, qui oblige les utilisateurs à fournir un mot de passe à usage unique ou des moyens d’authentification supplémentaires en plus d’un mot de passe.
Le groupe qui mène les attaques est motivé par des raisons financières et ses membres sont principalement situés en Amérique du Nord. Mandiant le suit sous le numéro UNC5537. Les chercheurs de l’entreprise ont écrit :
Sur la base de nos enquêtes menées à ce jour, UNC5537 a obtenu l’accès aux instances client Snowflake de plusieurs organisations via des informations d’identification client volées. Ces informations d’identification ont été principalement obtenues à partir de plusieurs campagnes de logiciels malveillants infostealer qui ont infecté des systèmes n’appartenant pas à Snowflake. Cela a permis à l’acteur malveillant d’accéder aux comptes clients concernés et a conduit à l’exportation d’un volume important de données client à partir des instances client Snowflake respectives. L’acteur malveillant a ensuite commencé à extorquer directement de nombreuses victimes et tente activement de vendre les données client volées sur des forums cybercriminels reconnus.
Mandiant a identifié que la majorité des informations d’identification utilisées par UNC5537 provenaient d’infections historiques d’infostealer, dont certaines remontaient à 2020.
La campagne de menace menée par UNC5537 a abouti à de nombreuses compromission réussies en raison de trois facteurs principaux :
- Les comptes concernés n’étaient pas configurés avec l’authentification multifacteur activée, ce qui signifie qu’une authentification réussie nécessitait uniquement un nom d’utilisateur et un mot de passe valides.
- Les informations d’identification identifiées dans les résultats du malware infostealer étaient toujours valides, dans certains cas des années après leur vol, et n’avaient pas été alternées ou mises à jour.
- Les instances client Snowflake concernées ne disposaient pas de listes d’autorisation réseau pour autoriser uniquement l’accès à partir d’emplacements approuvés.
Mandiant
L’accès initial aux comptes Snowflake concernés s’est souvent produit avec l’utilisation du SnowSight ou SnowSQL natif de l’entreprise, qui sont respectivement une interface utilisateur Web et une interface de ligne de commande. Les auteurs de la menace ont également utilisé un utilitaire personnalisé qui apparaît sous le nom de « violflake » dans les journaux et que Mandiant suit sous le nom de FrostBite.