Plus de 150 entreprises se retrouvent impliquées dans l’intrusion ayant frappé le géant du cloud Snowflake. Les chercheurs de Mandiant ont découvert qu’un gang se sert des données d’identification volées pour orchestrer d’autres vols d’informations et extorquer de l’argent. On fait le point sur la brèche.
La semaine dernière, on vous révélait que Snowflake, une société spécialisée dans le stockage dans le cloud, avait été victime d’une vaste fuite de données. D’après l’entreprise, des cybercriminels sont parvenus à voler les identifiants d’une partie de sa clientèle à l’aide de logiciels malveillants de type infostealer. Déployés sur l’ordinateur d’employés, ces virus ont exfiltré une montagne d’informations d’identification. Les données se sont rapidement retrouvées sur BreachForums, une plateforme très populaire auprès des cybercriminels.
Cette révélation laissait craindre que les clients de Snowflake se retrouvent rapidement dans le collimateur des pirates. D’ailleurs, TicketMaster, l’un des clients de l’offre cloud de Snowflake, a été victime d’une intrusion. Les attaquants se sont envolés avec les données de plus de 500 millions d’utilisateurs. Peu après, la banque espagnole Santander, qui stocke également des données sur le cloud de Snowflake, a également enregistré un vol d’informations, suivi par QuoteWizard. La filiale de Lending Tree indique en effet que Snowflake l’a prévenue d’une fuite de données sensibles.
À lire aussi : 361 millions de comptes piratés – une fuite massive de données a été découverte
Déjà 165 victimes au compteur
Comme le craignaient les experts en sécurité, l’affaire ne risque pas de s’arrêter là. Selon les chercheurs de Mandiant, une société de cybersécurité appartenant à Google, jusqu’à 165 des clients de Snowflake sont concernés par la brèche.
« À ce jour, Mandiant et Snowflake ont notifié environ 165 organisations potentiellement exposées. Le support client de Snowflake a directement contacté ces clients pour assurer la sécurité de leurs comptes et de leurs données », détaille Mandiant, laissant entendre que d’autres victimes pourraient être découvertes dans un avenir proche.
Tous les comptes Snowflake des entreprises ont été récemment compromis par des virus, cachés sur des ordinateurs pendant une longue période. Parmi les malwares impliqués, on trouve des noms très connus comme Vidar, Risepro, Redline, Raccoon Stealer, Lumma et MetaStealer. Certains des virus ont été déployés dès 2020 sur les machines. Dans certains cas, les logiciels sont restés cachés sur les ordinateurs durant des années.
Comme l’indique Mandiant, ces malwares « ont infecté des systèmes non appartenant à Snowflake ». En clair, l’infrastructure de la société américaine ne souffre pas d’une faille de sécurité. Les informations ont bien été récupérées en compromettant les ordinateurs utilisés par des employés des clients de Snowflake, confirme l’enquête de Mandiant.
« S’il est compromis par des logiciels malveillants infostealer, l’ordinateur portable d’un seul entrepreneur peut faciliter l’accès des attaquants dans plusieurs organisations », explique Mandiant, soulignant l’interconnexion entre toutes les entreprises impliquées.
Avec les données, les pirates ont pénétré sur les serveurs loués par Snowflake, conduisant à « l’exportation d’un volume important de données client ». Cette dernière étape de l’attaque a commencé à la fin du mois d’avril 2024.
Qui est à l’origine de la cyberattaque ?
L’opération a été orchestrée par un seul groupe de cybercriminels, évoqué sous le nom de code « UNC5537 » par Mandiant. Sans surprise, le gang, dont les membres ont été majoritairement localisés en Amérique du Nord, cherche à dégager des bénéfices. C’est pourquoi les données volées servent à mener des opérations d’extorsion et sont revendues sur des forums criminels. Mandiant a d’ailleurs remarqué que le gang a « ciblé des centaines d’organisations dans le monde entier ».
Trois négligences épinglées par Mandiant
D’après Mandiant, plusieurs négligences ont permis aux cybercriminels d’arriver à leurs fins. Comme annoncé par Snowflake, les comptes compromis n’étaient pas protégés par l’authentification deux facteurs. Il suffit donc d’entrer les identifiants pour pénétrer sur le compte des clients.
Par ailleurs, les chercheurs regrettent que les informations d’identifications « étaient toujours valides », des années après leur vol. Les experts recommandent pourtant de changer régulièrement de mot de passe pour se protéger contre les hackers. Cette bonne habitude permet d’entraver les attaques reposant sur des données plus anciennes.
Enfin, les serveurs Snowflake affectés n’étaient pas protégés avec des listes d’autorisations concernant les emplacements. Ces listes n’autorisent l’accès aux ordinateurs qui se trouvent à des emplacements bien précis. Cette précaution aurait également pu mettre des bâtons dans les roues des pirates. En l’occurrence, les hackers ont pu se connecter aux serveurs sans le moindre obstacle.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Mandiant