Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

UNC5537 cible les instances des clients Snowflake pour le vol de données et l’extorsion

juin 2024 par Mandiant

Mandiant a publié aujourd’hui de nouvelles recherches qui révèlent qu’un acteur de menace à motivation financière, identifié sous le nom de UNC5537, cible les clients de Snowflake en utilisant des informations d’identification précédemment volées - principalement obtenues via des logiciels malveillants de type infostealer - pour accéder aux bases de données des clients. À ce jour, Mandiant n’a pas identifié de preuves indiquant que cette activité a été causée par une violation de l’environnement d’entreprise de Snowflake.

Dans le cadre de cette campagne, le hacker utilise un logiciel malveillant, que Mandiant nomme « FROSTBITE », pour effectuer une reconnaissance des instances Snowflake potentiellement exposées. Mandiant et Snowflake ont travaillé conjointement pour notifier les organisations potentiellement exposées et collaborent avec les forces de l’ordre pour enquêter sur cette campagne en cours.

Charles Carmakal, CTO de Mandiant Consulting, déclare :
« Depuis au moins avril 2024, UNC5537 a utilisé des informations d’identification volées pour accéder à plus de 100 clients de Snowflake. Le hacker systématiquement compromet les instances des clients, télécharge des données, extorque des victimes et met en vente les données des victimes sur des forums cybercriminels. La combinaison de plusieurs facteurs a contribué à la campagne de menaces ciblées, notamment les comptes des clients de Snowflake configurés sans MFA, les informations d’identification volées par des logiciels malveillants (souvent à partir d’ordinateurs personnels), et les instances configurées sans listes d’autorisation du réseau. Il est essentiel que les organisations évaluent leur exposition aux informations d’identification volées par les voleurs d’informations, car nous prévoyons que cet acteur de la menace et d’autres reproduiront cette campagne sur d’autres solutions SaaS »

 UNC5537 utilise des données clients volées pour extorquer des victimes et tente simultanément de vendre ces données sur des forums cybercriminels.

 La première date d’infection par infostealer observée associée à un identifiant utilisé par l’acteur de la menace remonte à novembre 2020.

 Dans certains cas, les compromissions initiales se sont produites sur des systèmes d’employés qui étaient utilisés à la fois pour des activités professionnelles et personnelles.

 Mandiant et Snowflake recommandent vivement à leurs clients d’activer le MFA, d’effectuer une rotation des informations d’identification et de mettre en place des listes d’autorisations sur le réseau.


Voir les articles précédents

    

Voir les articles suivants