La compañía estadounidense de ciberseguridad,
CrowdStrike, ha confirmado que uno de sus empleados compartió capturas de pantalla de sistemas internos con delincuentes tras una filtración en Telegram por parte del grupo de ciberdelincuentes Scattered Lapsus$ Hunters.
No obstante, la empresa aclaró que
no sufrió ninguna brecha de seguridad a raíz de este incidente y que la información de sus clientes no se vio comprometida.
«Identificamos y despedimos a un empleado sospechoso el mes pasado después de una investigación interna que comprobó que había compartido imágenes de su pantalla externamente», comunicó un portavoz de CrowdStrike. «Nuestros sistemas nunca estuvieron en riesgo y nuestros clientes quedaron protegidos en todo momento. Hemos reportado el caso a las autoridades correspondientes».
CrowdStrike no especificó el grupo de ciberdelincuentes involucrado ni las motivaciones del empleado que filtró las capturas de pantalla.
Esta declaración se proporcionó en respuesta a las
dudas planteadas por BleepingComputer sobre las capturas de pantalla de sus sistemas que aparecieron recientemente en Telegram, compartidas por miembros de los grupos ShinyHunters, Scattered Spider y Lapsus$.
ShinyHunters notificó hoy a BleepingComputer que supuestamente llegaron a un acuerdo para pagar 25.000 dólares a un informante a cambio de acceso a la red de CrowdStrike. Los ciberdelincuentes afirmaron haber recibido cookies de autenticación SSO, pero para ese momento, CrowdStrike ya había detectado la información y bloqueado el acceso.
Además, el grupo extorsionador mencionó que intentaron adquirir informes de CrowdStrike sobre ShinyHunters y Scattered Spider, pero no tuvieron éxito.
El colectivo de ciberdelincuentes Scattered Lapsus$ Hunters
Estos grupos, que se denominan colectivamente «Scattered Lapsus$ Hunters», lanzaron previamente un sitio web de filtración de datos para extorsionar a muchas empresas tras una serie de grandes brechas de seguridad en Salesforce.
Scattered Lapsus$ Hunters ha estado
atacando a clientes de Salesforce con técnicas de phishing por voz desde principios del año, afectando a empresas como
Google,
Cisco,
Allianz Life,
Farmers Insurance,
Qantas,
Adidas,
Workday
e incluso filiales de
LVMH, como
Dior,
Louis Vuitton
y Tiffany & Co.
El grupo Scattered Lapsus$ Hunters también se ha atribuido la
responsabilidad del ataque a
Jaguar Land Rover (JLR), con el robo de datos confidenciales y una interrupción significativa en sus operaciones, causando
pérdidas superiores a 196 millones de libras esterlinas (220 millones de dólares)
en el último trimestre.
Estos grupos de extorsionistas, ShinyHunters y Scattered Spider, están pasando a una nueva plataforma de ransomware como servicio, denominada
ShinySp1d3r, después de haber utilizado cifradores de otros grupos de ransomware en sus ataques, como
ALPHV/BlackCat,
RansomHub,
Qilin y
DragonForce.
Este jueves, ShinyHunters también reclamó una nueva serie de ataques de
robo de datos que supuestamente impactaron a instancias de Salesforce de
más de 280 empresas. En mensajes de Telegram que se hicieron públicos hoy, mencionaron que la lista de empresas afectadas abarca nombres importantes como LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign y Malwarebytes.
Según explicaron los ciberdelincuentes, comprometieron las instancias de Salesforce después de vulnerar Gainsight utilizando información confidencial robada durante una brecha de seguridad en
Salesloft.
Fuente:
BC
Con Información de blog.segu-info.com.ar