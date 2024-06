UNC5537 cible les instances des clients Snowflake pour le vol de données et l’extorsion

juin 2024 par Mandiant

Dans le cadre de cette campagne, le hacker utilise un logiciel malveillant, que Mandiant nomme « FROSTBITE », pour effectuer une reconnaissance des instances Snowflake potentiellement exposées. Mandiant et Snowflake ont travaillé conjointement pour notifier les organisations potentiellement exposées et collaborent avec les forces de l’ordre pour enquêter sur cette campagne en cours.

Charles Carmakal, CTO de Mandiant Consulting, déclare :

« Depuis au moins avril 2024, UNC5537 a utilisé des informations d’identification volées pour accéder à plus de 100 clients de Snowflake. Le hacker systématiquement compromet les instances des clients, télécharge des données, extorque des victimes et met en vente les données des victimes sur des forums cybercriminels. La combinaison de plusieurs facteurs a contribué à la campagne de menaces ciblées, notamment les comptes des clients de Snowflake configurés sans MFA, les informations d’identification volées par des logiciels malveillants (souvent à partir d’ordinateurs personnels), et les instances configurées sans listes d’autorisation du réseau. Il est essentiel que les organisations évaluent leur exposition aux informations d’identification volées par les voleurs d’informations, car nous prévoyons que cet acteur de la menace et d’autres reproduiront cette campagne sur d’autres solutions SaaS »

– UNC5537 utilise des données clients volées pour extorquer des victimes et tente simultanément de vendre ces données sur des forums cybercriminels.

– La première date d’infection par infostealer observée associée à un identifiant utilisé par l’acteur de la menace remonte à novembre 2020.

– Dans certains cas, les compromissions initiales se sont produites sur des systèmes d’employés qui étaient utilisés à la fois pour des activités professionnelles et personnelles.

– Mandiant et Snowflake recommandent vivement à leurs clients d’activer le MFA, d’effectuer une rotation des informations d’identification et de mettre en place des listes d’autorisations sur le réseau.