Em meio à popularização do malware infostealer, que coleta e extrai dados de sistemas ou redes, ciberataques direcionados a empresas de armazenamento de dados têm se tornado cada vez mais preocupantes. De acordo com a Lumu Technologies, ocorrências do tipo despontam como um dos principais desafios que as organizações de todo o mundo enfrentam atualmente, principalmente pelo efeito dominó que as investidas podem causar.
Exemplo recente que demonstra o poder destrutivo dessas ações foi o ataque à cadeia de suprimentos da Snowflake, empresa de armazenamento, processamento e análise de dados baseada em nuvem, utilizada por companhias de diferentes setores, desde instituições financeiras até serviços e organizações de cibersegurança. A ofensiva resultou no vazamento de dados de clientes, como o banco Santander e a Ticketmaster, impactando milhões de usuários. Estima-se que cerca de 165 empresas podem ter sido afetadas – registros na deep web, no entanto, apontam que credenciais Snowflake de mais de 300 organizações foram colocadas à venda online.
“Não há evidências que liguem os incidentes a qualquer violação ou exploração de vulnerabilidade no sistema da Snowflake. Todas as indicações apontam para o uso massivo de credenciais roubadas da empresa por meio de infostealers. Aparentemente, o agressor obteve uma lista cumulativa de credenciais roubadas desde 2020 e a tem usado para acessar a plataforma nos casos em que a autenticação multifator não está habilitada, permitindo a exfiltração de dados”, analisa Germán Patiño, vice-presidente de vendas para a América Latina da Lumu Technologies.
“A economia que rodeia o ciclo do infostealer impulsiona a proliferação de agentes de ameaças que se especializam em atingir diferentes plataformas para obter credenciais e explorar o acesso com políticas de segurança fracas, obtendo, em última análise, lucros impressionantes. Neste caso, os registros relacionados às contas da Snowflake foram encontrados e fornecidos pelos criminosos Vidar, Risepro, Redline, Racoon Stealer, Lumma e Metastealer”, completa o executivo.
Nesse contexto desafiador, alerta Patiño, a aplicação de políticas de segurança mais robustas torna-se mandatória para as empresas de todas as verticais e portes, sendo altamente recomendável implementar a autenticação multifator (MFA) para todas as contas, o que pode reduzir significativamente o risco de roubo de credenciais e acesso não autorizado. Além disso, é de vital importância o monitoramento contínuo de contas potencialmente comprometidas relacionadas aos fornecedores como forma de reduzir a superfície de ataque.
“Recomenda-se também implementar um sistema de gerenciamento de identidade e acesso (IAM), uma vez que ele fornece uma estrutura abrangente para gerenciar identidades de usuários e permissões de acesso em toda a organização, e contar com um monitoramento de rede em tempo real para evitar vetores iniciais típicos e infostealers e receber notificações de qualquer atividade suspeita ou tentativa de acesso não autorizado”, finaliza o especialista da Lumu.
