La empresa estadounidense de ciberseguridad
CrowdStrike ha confirmado que un empleado compartió capturas de pantalla de
sistemas internos con delincuentes después de que fueran filtradas en Telegram por el grupo de
ciberdelincuentes Scattered Lapsus$ Hunters.
Sin embargo, la compañía aclaró que
sus sistemas no sufrieron ninguna brecha de seguridad como resultado de
este incidente
y que los datos de sus clientes no se vieron comprometidos.
«Identificamos y despedimos a un empleado sospechoso el mes pasado tras una
investigación interna que determinó que había compartido imágenes de la
pantalla de su computadora externamente», declaró un portavoz de CrowdStrike.
«Nuestros sistemas nunca se vieron comprometidos y nuestros clientes
permanecieron protegidos en todo momento. Hemos remitido el caso a las
autoridades competentes».
CrowdStrike no especificó el grupo de ciberdelincuentes responsable del
incidente ni las motivaciones del empleado malintencionado que compartió las
capturas de pantalla.
Esta declaración se proporcionó en respuesta a las
preguntas de BleepingComputer
sobre las capturas de pantalla de los sistemas de CrowdStrike que fueron
publicadas recientemente en Telegram por miembros de los grupos de
ciberdelincuentes ShinyHunters, Scattered Spider y Lapsus$.
ShinyHunters informó hoy a BleepingComputer que supuestamente acordaron
pagarle a un informante 25.000 dólares para que les diera acceso a la red de
CrowdStrike. Los ciberdelincuentes afirmaron haber recibido cookies de
autenticación SSO del informante, pero para entonces, CrowdStrike ya lo había
detectado y le había bloqueado el acceso a la red.
El grupo extorsionador añadió que también intentaron comprar informes de
CrowdStrike sobre ShinyHunters y Scattered Spider, pero no los consiguieron.
El colectivo de ciberdelincuentes Scattered Lapsus$ Hunters
Estos grupos, que ahora se hacen llamar colectivamente
«Scattered Lapsus$ Hunters», lanzaron previamente un sitio web de
filtración de datos para extorsionar a decenas de empresas afectadas por una
oleada masiva de brechas de seguridad en Salesforce.
Scattered Lapsus$ Hunters ha estado
atacando a clientes de Salesforce
mediante ataques de phishing por voz desde principios de año, vulnerando la
seguridad de empresas como
Google,
Cisco,
Allianz Life,
Farmers Insurance,
Qantas,
Adidas,
Workday
así como de
filiales de LVMH, incluyendo
Dior,
Louis Vuitton
y,
Tiffany & Co.
El grupo Scattered Lapsus$ Hunters también se atribuyó la responsabilidad del
ataque a
Jaguar Land Rover (JLR), robando datos confidenciales e
interrumpiendo significativamente sus operaciones, lo que ocasionó
daños por más de 196 millones de libras esterlinas (220 millones de
dólares)
en el último trimestre.
Estos grupos de extorsión ShinyHunters y Scattered Spider están migrando a una
nueva plataforma de ransomware como servicio llamada
ShinySp1d3r, tras haber utilizado previamente en sus ataques los cifradores de otros
grupos de ransomware, como
ALPHV/BlackCat,
RansomHub,
Qiliny
DragonForce.
Este jueves, ShinyHunters también reivindicó una nueva oleada de ataques de
robo de datos que supuestamente afectó a instancias de Salesforce
pertenecientes a
más de 280 empresas. En mensajes de Telegram publicados hoy, indicaron que la lista de empresas
afectadas incluye nombres importantes como LinkedIn, GitLab, Atlassian,
Thomson Reuters, Verizon, F5, SonicWall, DocuSign y Malwarebytes.
Tal como los ciberdelincuentes explicaron ayer, comprometieron las instancias
de Salesforce tras vulnerar Gainsight utilizando información confidencial
robada en la brecha de seguridad de
Salesloft.
Fuente:
BC