La empresa estadounidense de ciberseguridad CrowdStrike ha confirmado que un empleado compartió capturas de pantalla de sistemas internos con delincuentes después de que fueran filtradas en Telegram por el grupo de ciberdelincuentes Scattered Lapsus$ Hunters.
Sin embargo, la compañía aclaró que sus sistemas no sufrieron ninguna brecha de seguridad como resultado de este incidente y que los datos de sus clientes no se vieron comprometidos.
"Identificamos y despedimos a un empleado sospechoso el mes pasado tras una investigación interna que determinó que había compartido imágenes de la pantalla de su computadora externamente", declaró un portavoz de CrowdStrike. "Nuestros sistemas nunca se vieron comprometidos y nuestros clientes permanecieron protegidos en todo momento. Hemos remitido el caso a las autoridades competentes".
CrowdStrike no especificó el grupo de ciberdelincuentes responsable del incidente ni las motivaciones del empleado malintencionado que compartió las capturas de pantalla.
Esta declaración se proporcionó en respuesta a las preguntas de BleepingComputer sobre las capturas de pantalla de los sistemas de CrowdStrike que fueron publicadas recientemente en Telegram por miembros de los grupos de ciberdelincuentes ShinyHunters, Scattered Spider y Lapsus$.
ShinyHunters informó hoy a BleepingComputer que supuestamente acordaron pagarle a un informante 25.000 dólares para que les diera acceso a la red de CrowdStrike. Los ciberdelincuentes afirmaron haber recibido cookies de autenticación SSO del informante, pero para entonces, CrowdStrike ya lo había detectado y le había bloqueado el acceso a la red.
El grupo extorsionador añadió que también intentaron comprar informes de CrowdStrike sobre ShinyHunters y Scattered Spider, pero no los consiguieron.
El colectivo de ciberdelincuentes Scattered Lapsus$ Hunters
Estos grupos, que ahora se hacen llamar colectivamente "Scattered Lapsus$ Hunters", lanzaron previamente un sitio web de filtración de datos para extorsionar a decenas de empresas afectadas por una oleada masiva de brechas de seguridad en Salesforce.
Scattered Lapsus$ Hunters ha estado atacando a clientes de Salesforce mediante ataques de phishing por voz desde principios de año, vulnerando la seguridad de empresas como Google, Cisco, Allianz Life, Farmers Insurance, Qantas, Adidas, Workday así como de filiales de LVMH, incluyendo Dior, Louis Vuitton y, Tiffany & Co.
El grupo Scattered Lapsus$ Hunters también se atribuyó la responsabilidad del ataque a Jaguar Land Rover (JLR), robando datos confidenciales e interrumpiendo significativamente sus operaciones, lo que ocasionó daños por más de 196 millones de libras esterlinas (220 millones de dólares) en el último trimestre.
Estos grupos de extorsión ShinyHunters y Scattered Spider están migrando a una nueva plataforma de ransomware como servicio llamada ShinySp1d3r, tras haber utilizado previamente en sus ataques los cifradores de otros grupos de ransomware, como ALPHV/BlackCat, RansomHub, Qilin y DragonForce.
Este jueves, ShinyHunters también reivindicó una nueva oleada de ataques de robo de datos que supuestamente afectó a instancias de Salesforce pertenecientes a más de 280 empresas. En mensajes de Telegram publicados hoy, indicaron que la lista de empresas afectadas incluye nombres importantes como LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign y Malwarebytes.
Tal como los ciberdelincuentes explicaron ayer, comprometieron las instancias de Salesforce tras vulnerar Gainsight utilizando información confidencial robada en la brecha de seguridad de Salesloft.
Fuente: BC