Сообщается, что американская компания по кибербезопасности CrowdStrike, базирующаяся в Техасе, уволила сотрудника, обвиняемого в утечке внутренней информации киберпреступному сообществу, которое недавно взяло на себя ответственность за корпоративные утечки, связанные с системами Salesforce.
Фирма по обеспечению безопасности уволила «инсайдера» после того, как выяснилось, что он сотрудничал с группой, известной как Scattered Lapsus$ Hunters, которая начала публиковать предполагаемые внутренние скриншоты поздно вечером в четверг и утром в пятницу на своем канале Telegram.
Scattered Lapsus$ опубликовал несколько изображений, демонстрирующих информационные панели, связанные с ресурсами компании, включая панели Okta, используемые сотрудниками для доступа к внутренним приложениям. Хакеры заявили, что скриншоты были получены от взломанного сотрудника и свидетельствуют об успешном проникновении в CrowdStrike после взлома Gainsight ранее на этой неделе.
CrowdStrike и Gainsight продолжают расследование кражи информации
По данным CrowdStrike, утверждения хакерской группы и изображения в Telegram принадлежали только сотруднику, который несанкционированно поделился фотографиями своего экрана с внешними сторонами, и компания настаивает на том, что никаких нарушений в ее системах не было.
«Наши системы ни разу не были скомпрометированы, и клиенты оставались под защитой на протяжении всего периода эксплуатации», — заявил новостному изданию TechCrunch. Он добавил, что компания «передала дело соответствующим правоохранительным органам» после того, как закрыла доступ инсайдеру.
CrowdStrike заявила, что заполнила стол работника, как только стало известно, что он «делился снимками экрана своего компьютера с внешним миром», а утверждения, распространяемые по хакерским каналам, являются «ложными».
Salesforce подтверждает утечку данных клиентов
В пятницу утром компания Salesforce обновила свою страницу обdent , сообщив, что нарушение затронуло некоторых ее клиентов, вызвав «сбои в подключении». Неавторизованные лица получили доступ к «данным Salesforce определенных клиентов», хотя компания неdent, какие именно организации пострадали.
В Salesforce заявили, что взлом произошел через приложения, разработанные поставщиком услуг поддержки клиентов и аналитики Gainsight.
Позже в тот же день Остин Ларсен из Threat Intelligence Group, главный аналитик по угрозам в подразделении кибербезопасности компании Google, заявил, что компания «знает о более чем 200 потенциально затронутых экземплярах Salesforce».
Разрозненные Lapsus$ Hunters публично взяли на себя ответственность за доступ к данным через интеграцию Gainsight и использовали украденную информацию для нападения на других корпоративных клиентов.
Представитель ShinyHunters, одной из групп внутри коллектива, похвастался, что «Gainsight была клиентом Salesloft Drift, они пострадали и, следовательно, были скомпрометированы полностью нами».
Gainsight публикует обновления на своей странице,dent инциденту, с момента, как об атаке стало известно общественности. В пятницу компания заявила, что привлекла Mandiant, подразделение Google по реагированию наdent , для помощи в расследовании инцидента.
В качестве меры предосторожности Salesforce также временно отозвала активные токены доступа для приложений, подключенных к Gainsight, а также уведомила клиентов, чьи данные были украдены, согласно публичным обновлениям компании.
«Клиенты Hubspot могут обнаружить, что приложение Gainsight временно удалено из Hubspot Marketplace в качестве меры предосторожности. Это также может повлиять на доступ OAuth для клиентских подключений во время проверки. Мы будем работать с Hubspot над повторным включением приложения в список после тщательной проверки», — говорится в одном из отчётов, опубликованных в четверг.
Разрозненная семья Lapsus$ несет ответственность за несколько громких утечек
Scattered Lapsus$ Hunters — это совместная инициатива нескольких англоязычных киберпреступных групп, включая ShinyHunters, Scattered Spider и Lapsus$. Коллектив приобрел известность благодаря использованию методов социальной инженерии, позволяющих обманным путём выманивать у сотрудников данные для входа в систему, предоставлять удалённый доступ или подтверждать запросы на аутентификацию.
В списке своих «завоеваний» группировка ранее нацелилась на MGM Resorts, Coinbase, DoorDash, Workday, Aflac Insurance и другие крупные компании. В октябре Scattered Lapsus$ Hunters заявили, что похитили более миллиарда записей у предприятий, использующих Salesforce для управления информацией о клиентах.
Они опубликовали утечку данных каталога страховой компании Allianz Life, авиакомпании Qantas, автопроизводителя Stellantis, TransUnion, платформы управления персоналом Workday и других.
За последние полтора года семья Scattered Lapsus$ также взяла на себя ответственность заdentв Atlassian, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters и Verizon.
Хакеры сообщили в своем канале Telegram, что на следующей неделе планируют запустить новый сайт для вымогательства денег у компаний, пострадавших в ходе их последней операции.
«Следующий сайт утечки данных будет содержать данные кампаний Salesloft и GainSight», — поделились хакеры своими планами с DataBreaches.net.
