Seitdem Snowflake zugegeben hat, dass Konten angegriffen wurden, hat das Unternehmen weitere Informationen zu dem Vorfall bereitgestellt. Brad Jones, Chief Information Security Officer von Snowflake, sagte in einem Blog-Beitrag, dass Die Angreifer nutzten Anmeldedaten von Konten, die „gekauft oder durch Infostealing-Malware erhalten“ wurden. Diese Malware ist darauf ausgelegt, Benutzernamen und Passwörter von kompromittierten Geräten abzurufen. Bei dem Vorfall scheine es sich um eine „gezielte Kampagne zu handeln, die sich an Benutzer mit Einzelfaktor-Authentifizierung richtet“, fügte Jones hinzu.
In Jones‘ Beitrag heißt es, Snowflake und die Cybersicherheitsunternehmen CrowdStrike und Mandiant, die mit der Untersuchung des Vorfalls beauftragt wurden, hätten keine Beweise dafür gefunden, dass der Angriff „durch kompromittierte Anmeldeinformationen aktueller oder ehemaliger Snowflake-Mitarbeiter verursacht wurde“. Allerdings wurde festgestellt, dass auf die Demokonten eines ehemaligen Mitarbeiters zugegriffen wurde, der angeblich keine sensiblen Daten enthielt.
Auf die Frage nach möglichen Verstößen gegen die Daten bestimmter Unternehmen verwies eine Snowflake-Person auf Jones‘ Aussage: „Wir haben keine Beweise dafür gefunden, dass diese Aktivität durch eine Sicherheitslücke, Fehlkonfiguration oder einen Verstoß gegen die Snowflake-Plattform verursacht wurde.“ Das Unternehmen gab keinen offiziellen Kommentar ab, in dem klargestellt wurde, was mit einem „Verstoß“ gemeint war. (Das Sicherheitsunternehmen Hudson Rock sagte, es habe einen Recherchebeitrag mit verschiedenen unbestätigten Behauptungen über den Snowflake-Vorfall entfernt, nachdem Erhalt eines juristischen Schreibens von Snowflake).
Die US-amerikanische Cybersecurity and Infrastructure Security Agency hat eine Alarm über den Snowflake-Vorfall, während Australiens Cyber Security Center sagte Man sei sich „der erfolgreichen Kompromittierung mehrerer Unternehmen bewusst, die Snowflake-Umgebungen nutzen.“
Unklare Ursprünge
Über die Werbedaten des Sp1d3r-Kontos auf BreachForums ist wenig bekannt, und es ist nicht klar, ob ShinyHunters die Daten, die es verkaufte, aus einer anderen Quelle oder direkt von den Snowflake-Konten der Opfer erhielt – Informationen über einen Datendiebstahl bei Ticketmaster und Santander waren ursprünglich gepostet in einem anderen Cybercrime-Forum von einem neuen Benutzer namens SpidermanDaten.
Der Sp1d3r-Account postete auf BreachForums, dass die 2 Terabyte angeblicher LendingTree- und QuoteWizard-Daten für 2 Millionen Dollar zum Verkauf stünden; während 3 TB angeblicher Daten von Advance Auto Parts 1,5 Millionen Dollar kosten würden. „Der vom Bedrohungsakteur festgelegte Preis erscheint für eine typische Anzeige auf BreachForums extrem hoch“, sagt Chris Morgan, ein leitender Cyber-Threat-Intelligence-Analyst beim Sicherheitsunternehmen ReliaQuest.
Morgan sagt, die Legitimität von Sp1d3r sei nicht klar; er weist jedoch darauf hin, dass es eine Anspielung auf die Hackergruppe Scattered Spider gibt. „Interessanterweise stammt das Profilbild des Bedrohungsakteurs aus einem Artikel, der auf die Bedrohungsgruppe Scattered Spider verweist, obwohl unklar ist, ob damit eine absichtliche Verbindung zu der Bedrohungsgruppe hergestellt werden soll.“
Während die genaue Ursache der angeblichen Datenlecks unklar ist, zeigt der Vorfall, wie vernetzt Unternehmen sein können, wenn sie auf Produkte und Dienste von Drittanbietern angewiesen sind. „Ich denke, vieles davon ist nur ein Eingeständnis dafür, wie stark diese Dienste mittlerweile voneinander abhängig sind und wie schwierig es ist, die Sicherheitslage von Drittanbietern zu kontrollieren“, sagte der Sicherheitsforscher Tory Hunt gegenüber WIRED, als die Vorfälle erstmals auftraten.
Als Teil seiner Reaktion auf die Angriffe hat Snowflake alle Kunden aufgefordert, sicherzustellen, dass sie die Multifaktor-Authentifizierung für alle Konten erzwingen und nur Datenverkehr von autorisierten Benutzern oder Standorten zulassen. Betroffene Unternehmen sollten außerdem ihre Snowflake-Anmeldeinformationen zurücksetzen. Aktivieren der Multifaktor-Authentifizierung verringert die Chancen erheblich dass Online-Konten kompromittiert werden. Wie bereits erwähnt, berichtete TechCrunch diese Woche, dass es gesehen „Hunderte angeblicher Anmeldeinformationen von Snowflake-Kunden“, die durch Infosteuflische Schadsoftware von den Computern der Personen gestohlen wurden, die auf Snowflake-Konten zugegriffen haben.
In den letzten Jahren, zeitgleich mit der Tatsache, dass seit der Covid-19-Pandemie mehr Menschen von zu Hause aus arbeiten, gab es eine Anstieg der Nutzung von Infostealer-Malware„Infostealer sind beliebter geworden, weil sie sehr gefragt und relativ einfach zu erstellen sind“, sagt Ian Gray, Vizepräsident für Geheimdienste beim Sicherheitsunternehmen Flashpoint. Es wurde beobachtet, dass Hacker bestehende Infostealer kopieren oder modifizieren und sie für nur 10 Dollar weiterverkaufen, um alle Anmeldedaten, Cookies, Dateien und mehr von einem infizierten Gerät zu erhalten.
„Diese Malware kann auf verschiedene Arten verbreitet werden und zielt auf sensible Informationen wie Browserdaten (Cookies und Anmeldeinformationen), Kreditkarten und Krypto-Wallets ab“, sagt Gray. „Hacker könnten die Protokolle nach Unternehmensanmeldeinformationen durchsuchen, um sich ohne Erlaubnis Zugang zu Konten zu verschaffen.“