El grupo que ha realizado el ataque tiene a la mayoría de sus miembros en Norteamérica. Según Mandiant sus motivaciones son económicas, y han denominado al grupo UNC5537. La mayoría de credenciales que han utilizado estaban disponibles tras infecciones de malware de hace algún tiempo. Algunas, incluso de 2020.
El primer acceso a las cuentas afectadas ocurrió en su mayoría por el uso de las herramientas de Snowflake SnowSight o SnowSQL, que utilizan una interfaz basada en web y otra de línea de comandos respectivamente. Los ciberatacantes utilizaron también una utilidad personalizada, que aparece en los logs como rapeflake, y que los expertos de Mandiant rastrean como FrostBite.
La primera fecha de infección mediante el software de robo de información observada en el robo de credenciales se dio en noviembre de 2020. Mandiant ha identificado que desde entonces han quedado cientos de credenciales de acceso a cuentas de Snowflake expuestas. La brecha de seguridad de la campaña llevada a cabo por la campaña de UNC5537 más temprana data del 24 de abril.
Algunas de las herramientas de robo de información utilizadas desde entonces en la campaña son Vidar, Risepro, Redline, Racoon Steales, Lumma y MetaStealer. En algunos casos, el malware se instaló en máquinas que colaboradores de empresas utilizaban tanto para trabajo como para actividades personales.
Para Mandiant, estos dispositivos, que se usan a veces para acceder a sistemas de varias organizaciones, suponen un riesgo significativo, ya que si quedan comprometidos con malware de robo de datos, un solo portátil puede facilitar a un atacante acceso a varias empresas, y en muchos casos, con privilegios de administrador o de miembro del equipo de TI.
A la vista de la información recopilada durante la investigación de los incidentes, Mandiant ha exculpado a Snowflake de cualquier responsabilidad, pero otros expertos, como Kevin Beaumont, creen que sí es responsable de buena parte de los ataques por permitir la autenticación simple.
El experto señala que necesitan, a nivel de ingeniería y de diseño de seguridad, revisar cómo funciona su autenticación, ya que en su opinión la autenticación segura no debería ser opcional. Eso sí, sin restar responsabilidad a las víctimas, que no han revisado sus credenciales de acceso ni su configuración de autenticación para asegurarse de que tenían activado un sistema de autenticación mediante varios factores.
