C’est une mauvaise nouvelle pour les clients de Snowflake, champion innovant des bases de données dans le Cloud. La société de sécurité informatique Mandiant indique qu’elle travaille avec Snowflake afin d’informer conjointement les entreprises qui ont été potentiellement exposées à un vol de leurs données.
Une centaine d’entreprises concernées
Une centaine d’entreprises seraient concernées. C’est aussi un très mauvais moment pour Snowflake qui a su bousculer l’offre des fournisseurs traditionnels de bases de données comme Oracle ou Teradata et séduire de très grandes entreprises comme Saint-Gobain, C&A, Sanofi, La Poste ou Malakoff Humanis ou des entreprises plus petites mais dynamiques comme VertBaudet, Picnic, Weborama ou Kiloutou.
Un hacker à motivation financière, identifié sous le nom de UNC5537, cible les clients de Snowflake
« Le hacker systématiquement compromet les instances des clients, télécharge des données, extorque des victimes et met en vente les données des victimes sur des forums cybercriminels » poursuit-il. Il estime que cette campagne d’attaques ciblées est due à la combinaison de plusieurs facteurs. Il cite notamment les comptes des clients de Snowflake configurés sans MFA (authentification multi-facteurs), les informations d’identification volées par des logiciels malveillants (souvent à partir de PC personnels), et les instances configurées sans listes d’autorisation du réseau.
Un type d’attaque prévisible sur d’autres solutions Saas
« Les organisations doivent évaluer leur exposition aux informations d’identification volées, car nous prévoyons que cet acteur de la menace et d’autres reproduiront cette campagne sur d’autres solutions SaaS » termine-t-il. Selon Mandiant, UNC5537 utilise des données clients volées pour extorquer des victimes et tente simultanément de vendre ces données sur des forums cybercriminels.
La première date d’infection par infostealer, logiciel malveillant pour voler des informations d’identification, observée associée à un identifiant utilisé par l’acteur de la menace remonte à novembre 2020. Dans certains cas, les compromissions initiales se sont produites sur des systèmes d’employés qui étaient utilisés à la fois pour des activités professionnelles et personnelles. Mandiant et Snowflake recommandent vivement à leurs clients d’activer le MFA, d’effectuer une rotation des informations d’identification et de mettre en place des listes d’autorisations sur le réseau.