Un gruppo di hacker, identificato come UNC5537, ha preso di mira con successo centinaia di clienti della piattaforma cloud Snowflake. Gli analisti di sicurezza di Mandiant hanno scoperto che i cybercriminali hanno sfruttato le credenziali di accesso rubate, alcune delle quali risalgono addirittura al 2020 per compromettere gli account dei clienti Snowflake.

Una massiccia perdita di dati per numerose organizzazioni

L’indagine congiunta di Mandiant e Snowflake ha rivelato che un “volume significativo di dati” è stato sottratto a 165 organizzazioni clienti. L’attività illegale è stata collegata alle recenti violazioni di dati subite da Ticketmaster, Santander Bank e QuoteWizard, società controllata da LendingTree, le quali utilizzavano gli account di archiviazione cloud Snowflake compromessi.

Secondo Mandiant, il successo della campagna di UNC5537 è attribuibile alle scarse misure di sicurezza adottate dagli account colpiti. Molti non hanno aggiornato le credenziali di accesso rubate, non hanno implementato l’autenticazione a più fattori (MFA) o non hanno applicato le restrizioni sugli indirizzi IP autorizzati ad accedere.

L’indagine ancora in corso e potenziali ulteriori minacce

I dettagli ufficiali sul modo in cui gli account sono stati compromessi sono stati scarsi fino a questo momento, con un precedente rapporto di terze parti che è stato messo offline dopo che Snowflake ha rilasciato una dichiarazione in cui affermava che la piattaforma stessa non era responsabile.

Intanto, Mandiant e la piattaforma cloud hanno avvisato almeno 165 organizzazioni clienti di Snowflake che potrebbero essere state compromesse da quando è stata scoperta l’attività di minaccia in corso ad aprile. Sebbene Mandiant non abbia trovato prove di violazioni dell’ambiente aziendale di Snowflake, l’indagine sull’attività di UNC5537 è ancora in corso.

Gli analisti ritengono probabile che il gruppo UNC5337 prenderà di mira altre piattaforme cloud nel prossimo futuro, con un numero crescente di vittime potenziali.