Pure Storage, l’un des principaux fournisseurs de systèmes et de services de stockage dans le cloud, a confirmé lundi que des attaquants avaient violé son espace de travail Snowflake et avaient eu accès à ce que l’entreprise décrit comme des informations de télémétrie.
Bien que les informations exposées comprenaient également les noms des clients, les noms d’utilisateur et les adresses e-mail, elles ne contenaient pas d’informations d’identification pour l’accès aux baies ou toute autre donnée stockée sur les systèmes des clients.
« Après une enquête approfondie, Pure Storage a confirmé et résolu un incident de sécurité impliquant un tiers qui avait temporairement obtenu un accès non autorisé à un seul espace de travail d’analyse de données Snowflake », a déclaré la société de stockage.
« L’espace de travail contenait des informations de télémétrie que Pure utilise pour fournir des services d’assistance client proactifs. Ces informations incluent les noms d’entreprise, les noms d’utilisateur LDAP, les adresses e-mail et le numéro de version du logiciel Purity. »
Pure a pris des mesures pour empêcher tout accès non autorisé à son espace de travail Snowflake et n’a pas encore trouvé de preuves d’activités malveillantes sur d’autres parties de son infrastructure client.
« Nous sommes actuellement en contact avec des clients qui, de la même manière, n’ont pas détecté d’activité inhabituelle ciblant leurs systèmes purs », a ajouté la société.
Plus de 11 000 clients utilisent la plate-forme de stockage de données de Pure Storage, y compris des entreprises et des organisations de premier plan comme Meta, Ford, JP Morgan, NASA, NTT, AutoNation, Equinix et Comcast.
Au moins 165 organisations ont probablement été touchées par des attaques de flocons de neige
Dans un avis conjoint avec Mandiant et CrowdStrike, Snowflake a révélé que les attaquants utilisent les informations d’identification volées des clients pour cibler les comptes dépourvus de protection d’authentification multifacteur.
Mandiant a également lié les attaques de Snowflake à un acteur de la menace à motivation financière identifié comme UNC5537 depuis mai 2024.
L’acteur malveillant accède aux comptes clients de Snowflake à l’aide des informations d’identification des clients volées lors d’infections historiques de logiciels malveillants infostealer remontant à 2020, ciblant des centaines d’organisations dans le monde entier et extorquant des victimes pour un gain financier.
« Les comptes concernés n’étaient pas configurés avec l’authentification multifacteur activée, ce qui signifie qu’une authentification réussie ne nécessitait qu’un nom d’utilisateur et un mot de passe valides », a déclaré Mandiant.
« Les informations d’identification identifiées dans la sortie du logiciel malveillant infostealer étaient toujours valides, dans certains cas des années après leur vol, et n’avaient pas été modifiées ou mises à jour. Les instances clientes Snowflake impactées ne disposaient pas de listes d’autorisations réseau en place pour autoriser uniquement l’accès à partir d’emplacements approuvés. »
Jusqu’à présent, la société de cybersécurité a identifié des centaines d’informations d’identification Snowflake de clients exposées dans les attaques de logiciels malveillants Vidar, RisePro, Redline, Racoon Stealer, Lumm et Metastealer infostealer.
Snowflake et Mandiant ont déjà informé environ 165 organisations potentiellement exposées à ces attaques en cours.
Bien que Mandiant n’ait pas divulgué beaucoup d’informations sur UNC5537, Breachtrace a appris qu’ils faisaient partie d’une communauté plus large d’acteurs de la menace qui visitent fréquemment les mêmes sites Web, serveurs Telegram et Discord, où ils collaborent régulièrement à des attaques.
Des violations récentes chez Santander, Ticketmaster et QuoteWizard / LendingTree ont également été liées à ces attaques continues de flocons de neige. La société mère de Ticketmaster, Live Nation, a confirmé qu’une violation de données avait affecté l’entreprise de billetterie après que son compte Snowflake ait été compromis le 20 mai.
Un acteur de la menace vend maintenant 3 To de données du fournisseur de pièces de rechange automobiles Advance Auto Parts, comprenant prétendument 380 millions de profils de clients et 44 millions de numéros de carte de fidélité / d’essence (avec les détails du client), volés après la violation du compte Snowflake de l’entreprise.