3 min Security

Tot 5 miljoen dollar geëist van Snowflake-klanten voor teruggave buitgemaakte data

Insight: Security Platforms

Tot 5 miljoen dollar geëist van Snowflake-klanten voor teruggave buitgemaakte data

De cybercriminelen die onlangs inbraken bij klanten van Snowflake, eisen tussen de 300.000 en 5 miljoen dollar (tussen de 280.000 en 4,6 miljoen euro) voor ontsleuteling of teruggave van de buitgemaakte gegevens. De hackers hebben bij zeker tien bedrijven dergelijke eisen neergelegd, aldus een analist van cybersecuritybedrijf Mandiant. Dat aantal zal zeker nog oplopen, verwacht deze.

De hackers wisten met behulp van gestolen gebruikersdata in te breken bij zeker 165 Snowflake-klanten. Onder meer Ticketmaster, de bank Santander en Advance Auto Parts zijn slachtoffer geworden van dergelijke aanvallen. Daarbij zijn van honderden miljoenen klanten gebruikersgegevens gestolen. Ook Pure Storage meldde een inbraak.

Eerder meldden we al dat hackers via een zelfontwikkelde tool wisten in te breken op online omgevingen van Snowflake waar geen multifactor-authenticatie (MFA) actief was. De inbreuk gebeurde dus niet door een kwetsbaarheid in Snowflake’s platform. Door het ontbreken van MFA was het echter mogelijk voor criminelen om inloggegevens en databases te bekijken van klanten van Snowflake. Die inloggegevens misbruikte de hackers (bekend als UNC5537) om in te loggen in de beschermde omgevingen van deze klanten.

Het was aanvankelijk niet bekend om hoeveel klanten het ging, maar er ontstaat nu een steeds beter beeld van de omvang van de buitgemaakte data, meldt Bloomberg op basis van verklaringen van Austin Larsen, senior threat analyst bij Mandiant. Larsen verwacht dat de komende tijd meer gevallen bekend worden van bedrijven die losgeld moeten ophoesten voor het terugkrijgen van hun data.

Crimineel plan gaat volgende fase in

Volgens Larsen gaat het plan van de criminelen een nieuwe fase in, nu ze de meest waardevolle informatie te gelde willen maken. Dit betekent bijvoorbeeld dat de illegaal verkregen data op criminele fora tegen forse prijzen -hoger dan gebruikelijk- wordt aangeboden. Alleen dit al kan de rechtmatige eigenaars van de data onder druk zetten om te betalen, omdat die willen voorkomen dat hun gegevens terechtkomen bij andere criminelen.

De hackers, die vanuit Noord-Amerika en Turkije zouden opereren, zijn uitermate brutaal, aldus Larsen. Cybersecurity-experts die de zaak onderzochten, hebben te maken gekregen met bedreigingen. Ook zouden er met behulp van AI onechte naaktfoto’s zijn gegenereerd van een onderzoeker, in een poging deze af te laten zien van verder speurwerk.

Volgens Mandiant is het mogelijk dat UNC5537 grote overlap heeft met de groep Scattered Spider, waarvan een leider onlangs in Spanje is gearresteerd. Het blijft echter deels giswerk hoe deze los-vaste criminele samenwerkingsverbanden in elkaar zitten. Mandiant, dat met Snowflake samenwerkt in dit onderzoek, heeft instructies opgesteld voor bedrijven die slachtoffer zijn geworden van UNC5537.

Lees ook: Mandiant meldt minstens 165 getroffen Snowflake-klanten bij reeks hackpogingen