165 klanten van cloudbedrijf Snowflake zijn mogelijk het slachtoffer geworden van een aanval waarbij criminelen inloggegevens in handen kregen waarmee opgeslagen data kon worden gestolen. De diefstal van inloggegevens via malware was onder andere mogelijk door laptops die zowel voor werk als privé werden gebruikt, zo claimt Googles securitybedrijf Mandiant op basis van onderzoek bij getroffen klanten.

Onlangs maakten TicketMaster en de Amerikaanse verzekeringsvergelijker QuoteWizard bekend dat hun Snowflake-omgeving was gecompromitteerd en data gestolen. Snowflake biedt een cloudplatform voor de opslag van data, waar allerlei grote bedrijven gebruik van maken. Het bedrijf stelde onlangs dat de accounts van verschillende klanten waren gecompromitteerd, nadat aanvallers de inloggegevens hiervan hadden bemachtigd. Onlangs meldde TechCrunch dat de inloggegevens van honderden Snowflake-klanten op internet zijn te vinden. Inloggegevens die via malware zouden zijn buitgemaakt.

De diefstal van inloggegevens door malware wordt nu door Mandiant bevestigd. Het securitybedrijf stelt dat bij alle getroffen Snowflake-klanten die het heeft onderzocht de inloggegevens door malware waren buitgemaakt. In een analyse stelt Mandiant dat de aanvallen het werk zijn van een financieel gemotiveerde groep criminelen. De groep slaagt erin om werksystemen van getroffen organisaties te infecteren of de persoonlijke systemen van medewerkers.

Bij verschillende 'Snowflake-gerelateerde onderzoeken' ontdekte Mandiant dat de infectie met infostealer-malware plaatsvond op de systemen van contractors. Deze systemen werden ook voor persoonlijke activiteiten gebruikt, waaronder gaming en het downloaden van illegale software. De laptops van deze contractors zijn mogelijk privé en/of worden niet gemonitord, zo laat de analyse weten.

"Deze apparaten, vaak gebruikt om systemen van meerdere organisaties te benaderen, vormen een groot risico", aldus Mandiant. Zodra één laptop van een contractor is geïnfecteerd met infostealer-malware kunnen aanvallers zo toegang tot de omgevingen van meerdere organisaties krijgen, vaak met beheerdersrechten, zo stelt het securitybedrijf verder.

De betreffende Snowflake-accounts maken geen gebruik van multifactorauthenticatie (MFA), waardoor de gestolen inloggegevens voldoende zijn om toegang tot de omgeving te krijgen en data te stelen. Vervolgens worden de organisaties met de gestolen gegevens afgeperst. Mandiant stelt dat het sinds 2020 honderden Snowflake-klanten heeft geïdentificeerd van wie de inloggegevens via malware zijn gecompromitteerd. Volgens Mandiant laat de recente aanvalscampagne het belang zien van MFA en het monitoren op gestolen inloggegevens.