Snowflake-aanvallers eisen tot vijf miljoen dollar van klanten

Dit meldt Austin Larsen, seinor threat analyst bij Mandiant, aan Bloomberg. In totaal wisten de aanvallers bij 165 klanten van Snowflake in te breken. Onder meer Ticketmaster, Advance Auto Parts, Ticketmaster, Satander en Pure Storage zijn getroffen. De aanval is toegeschreven aan de aanvalsgroep UNC5537. De aanvallers maakten gebruik van malware om data te stelen en versleutelen. Zeker tien partijen worden afgeperst door de aanvallers, terwijl Larsen verwacht dat dit aantal verder zal oplopen.

Gestolen inloggegevens

Bij de aanval is geen misbruik gemaakt van een kwetsbaarheid in het platform van Snowflake. Aanvallers wisten met behulp van gestolen inloggegevens toegang te krijgen tot de Snowflake-omgevingen van klanten. Het gaat daarbij om omgevingen waarop geen multi-factor authentificatie (MFA) werd toegepast. Snowflake is inmiddels overgestapt op het standaard inschakelen van MFA.

De aanvallers bieden volgens Larsen data die zij hebben buitgemaakt inmiddels online te koop aan. Dit kan de aanvallers niet alleen extra inkomsten opleveren, maar afgeperste bedrijven ook verder onder druk zetten om tot betaling over te gaan.