O grupo identificado pela Mandiant como UNC5537, especializado em ataques ao setor financeiro, é suspeito de ter roubado um volume “significativo” de registros de clientes da empresa de nuvem Snowflake: segundo relatório da Mandiant, o grupo está comprometendo instâncias de clientes Snowflake usando credenciais roubadas, e já está anunciando a venda de dados das vítimas em fóruns frequentados por cibercriminosos na dark web, tentando ao mesmo tempo extorquir muitas das vítimas.
Veja isso
Snowflake suspeita de origem de vazamento gigantesco
Mandiant descobre grupo de hackers ligado à Coreia do Norte
Apesar disso, a Mandiant não encontrou nenhuma evidência de que o acesso às contas dos clientes tenha sido resultado de uma violação do ambiente da Snowflake: todos os incidentes aos quais a Mandiant respondeu, associados a esta campanha, foram rastreados até credenciais comprometidas dos próprios clientes.
Em 22 de maio de 2024, após obter informações adicionais identificando uma campanha mais ampla visando instâncias adicionais de clientes da Snowflake, a Mandiant imediatamente contatou a Snowflake e começou a notificar possíveis vítimas por meio de nosso Programa de Notificação de Vítimas . Até o momento, a Mandiant e a Snowflake notificaram aproximadamente 165 organizações potencialmente expostas. O Suporte ao Cliente da Snowflake esteve diretamente envolvido com esses clientes para garantir a segurança de suas contas e dados. Mandiant e Snowflake têm conduzido uma investigação conjunta sobre esta campanha de ameaças em andamento e coordenado com as agências de aplicação da lei relevantes. Em 30 de maio de 2024, a Snowflake publicou orientações detalhadas sobre detecção e proteção para clientes da Snowflake.