De la primele incidente în care angajați dezvăluiau informații sensibile și până la extorsiunile organizate pe canale publice precum Telegram, cazul recent are în centru CrowdStrike, compania americană de securitate cibernetică, și vizează capturi de ecran ale unor sisteme interne care au ajuns în spațiul public prin postări ale unor grupuri de hackeri. Tema unește vechiul pericol al insiderilor cu metodele moderne de presiune și expunere folosite de colectivele de pe Telegram.
CrowdStrike a confirmat că un angajat intern a pus la dispoziție imagini ale ecranului său unor terți, iar acele capturi au fost ulterior difuzate pe Telegram de membri ai unor grupuri precum ShinyHunters, Scattered Spider și Lapsus$. Compania a subliniat că nu a existat o compromitere a sistemelor sale ca urmare a incidentului și că datele clienților au rămas neatinse. În urma unei anchete interne, CrowdStrike a identificat și a concediat persoana suspectă luna trecută și a predat cazul autorităților competente. Reprezentanții nu au precizat motivațiile angajatului sau identitatea exactă a grupului care a folosit materialele.
Pe 21 noiembrie, povestea a primit informații suplimentare pretinse de la hackeri, care susțin că au plătit 25.000 de dolari unui insider pentru acces la rețeaua CrowdStrike. Potrivit afirmațiilor postate de ShinyHunters, ar fi primit cookie-uri de autentificare SSO; însă, la momentul respectiv, insiderul ar fi fost deja detectat de CrowdStrike și i s-a blocat accesul. Grupul a mai afirmat că a încercat să cumpere rapoarte despre activitățile unor colective precum ShinyHunters și Scattered Spider, dar nu a obținut aceste documente. BleepingComputer a contactat CrowdStrike pentru clarificări suplimentare, iar compania nu a confirmat public toate detaliile revendicate de hackeri.
Colectivul autointitulat Scattered Lapsus$ Hunters a lansat și un site de scurgeri de date pentru a pune presiune pe companiile afectate de valuri de breșe în instanțele Salesforce. Membrii acelui grup și aliații lor au folosit tehnici de voice phishing și atacuri asupra furnizorilor pentru a ajunge la clienții Salesforce, vizând organizații mari precum Google, Cisco, Allianz Life, Farmers Insurance, Qantas, Adidas, Workday și mai multe filiale LVMH, inclusiv Dior, Louis Vuitton și Tiffany & Co. Pe lista companiilor vizate sau încercate de extorcare apar nume precum Toyota, Instacart, Cartier, Saks Fifth Avenue, Air France & KLM, FedEx, Disney/Hulu, Home Depot, Marriott, Gap, McDonald’s, Walgreens, TransUnion, HBO MAX, UPS, Chanel și IKEA. Grupurile au revendicat și un atac asupra Jaguar Land Rover, incident care, conform declarațiilor lor, a provocat perturbări majore și pierderi estimate la peste 196 de milioane de lire sterline în ultimul trimestru. În paralel, ShinyHunters și Scattered Spider au început să folosească o platformă de tip ransomware-as-a-service denumită ShinySp1d3r, renunțând temporar la encryptorii folosiți anterior, precum ALPHV/BlackCat, RansomHub, Qilin și DragonForce. Recent, ShinyHunters au afirmat că au compromis instanțe Salesforce aparținând a peste 280 de companii, printre care LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign și Malwarebytes, iar atacurile ar fi pornit după ce ar fi compromis Gainsight folosind secrete obținute în urma unei breșe la Salesloft.
CrowdStrike apare aici ca un exemplu al riscului generat de accesul intern și al fragilității unor mecanisme de autentificare, cum sunt cookie-urile SSO. Problemele semnalate, exploatarea furnizorilor, pivotarea prin aplicații cloud și presiunea publică pe Telegram, arată că protecția trebuie să includă monitorizare internă, limitarea privilegiilor, logare detaliată și o politică clară de gestionare a incidentelor, nu doar soluții tehnice izolate. O supraveghere mai riguroasă a furnizorilor și educația angajaților rămân esențiale, iar exemplele menționate, de la Salesforce la Jaguar Land Rover și CrowdStrike, ilustrează costurile posibile, financiare și reputaționale. Ce măsuri ar trebui, în opinia ta, prioritizate în companii pentru a diminua riscul de insider și lanțurile de atac prin terți?
Fii primul care comentează