Wie Experten berichten, werden aktuell viele Kunden des Cloud-Anbieters Snowflake ins Visier genommen. Dazu nutzen die Angreifer die Malware FROSTBITE aus – ein neuer Infostealer, so berichtet es die Google Tochter Mandiant.
Mandiant veröffentlichte neue Forschungsergebnisse, die zeigen, dass ein finanziell motivierter Bedrohungsakteur, der als UNC5537 identifiziert wurde, Snowflake-Kunden ins Visier nimmt, indem er zuvor gestohlene Anmeldeinformationen – hauptsächlich über Infostealer-Malware – verwendet, um auf Kundendatenbanken zuzugreifen. Ein bekanntes Opfer dabei scheint nach mehreren Quellen wohl der Veranstalter Ticketmaster zu sein, der viele Kundendaten verloren hat. Bislang aber hat Mandiant keine Beweise dafür gefunden, dass diese Aktivitäten durch einen Einbruch in die Unternehmensumgebung von Snowflake verursacht wurden.
Infostealer FROSTBITE greift Cloud-Kunden an
Im Rahmen dieser Kampagne setzt der Bedrohungsakteur Malware ein, die Mandiant als „FROSTBITE“ bezeichnet, um potenziell gefährdete Snowflake-Instanzen auszuspähen. Mandiant und Snowflake haben gemeinsam potenziell gefährdete Organisationen benachrichtigt und arbeiten mit den Strafverfolgungsbehörden zusammen, um diese laufende Kampagne zu untersuchen.
Seit mindestens April 2024 hat UNC5537 gestohlene Anmeldeinformationen genutzt, um auf über 100 Snowflake-Kunden zuzugreifen. Der Bedrohungsakteur kompromittierte systematisch Kunden, lud Daten herunter, erpresste die Opfer und bot die Daten der Opfer in cyberkriminellen Foren zum Verkauf an. Die Kombination mehrerer Faktoren trug zu der gezielten Bedrohungskampagne bei. Dazu gehörten Snowflake-Kundenkonten, die ohne MFA (Multifaktor Authentication) konfiguriert waren, von Infostealer-Malware gestohlene Anmeldeinformationen (oft von Privatcomputern) und Tenants, die ohne Netzwerkzulassungslisten konfiguriert waren.
Mehr bei Google.com
Über Mandiant Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.