Snowflake zaleca wprowadzenie MFA po atakach na klientów

Snowflake

Firma specjalizująca się w chmurze i analizie danych, ogłosiła, że „ograniczona liczba” jej klientów padła ofiarą ukierunkowanych ataków. Wspólnie z CrowdStrike i Mandiant, Snowflake stwierdziło, że nie znaleziono dowodów na luki w zabezpieczeniach platformy, które mogłyby przyczynić się do tych incydentów. Ataki te dotyczą użytkowników korzystających z jednopoziomowego uwierzytelniania, gdzie hakerzy wykorzystują skradzione dane uwierzytelniające.

Sprawcy ataków zdobywają dane uwierzytelniające za pomocą złośliwego oprogramowania kradnącego informacje. Charles Carmakal z Mandiant podkreśla, że zagrożenie jest realne dla organizacji korzystających z jednopoziomowego uwierzytelniania w środowiskach Snowflake. Snowflake, aby zapobiec dalszym incydentom, zaleca organizacjom włączenie uwierzytelniania wielopoziomowego (MFA) oraz ograniczenie ruchu sieciowego do zaufanych lokalizacji.

Amerykańska Agencja Cyberbezpieczeństwa i Infrastruktury (CISA) oraz Australijskie Centrum Cyberbezpieczeństwa (ACSC) również wydały ostrzeżenia, sugerując monitorowanie podejrzanej aktywności i podjęcie odpowiednich działań zapobiegawczych. ACSC informuje o udanych atakach na firm korzystających z platformy Snowflake. Wśród wskaźników zagrożenia są złośliwe połączenia identyfikujące się jako „rapeflake” i „DBeaver_DBeaverUltimate”.

Snowflake potwierdził ostatnio wzrost złośliwej aktywności skierowanej na konta klientów. Wcześniejszy raport firmy Hudson Rock sugerował, że naruszenia w Ticketmaster i Santander Bank mogły być wynikiem wykorzystania skradzionych danych pracownika Snowflake, ale raport został usunięty po interwencji prawnej. ShinyHunters, odpowiedzialni za te ataki, zaprzeczają tym twierdzeniom, nazywając je dezinformacją. Kevin Beaumont, niezależny badacz bezpieczeństwa, podkreśla, że infostealery są poważnym problemem i jedynym skutecznym rozwiązaniem jest solidne uwierzytelnianie wielopoziomowe.