CrowdStrike despide a un empleado acusado de compartir capturas de pantalla internas

Según informes, la empresa estadounidense de ciberseguridad CrowdStrike, con sede en Texas, despidió a un empleado acusado de filtrar información interna a un grupo de ciberdelincuentes que recientemente se atribuyó la responsabilidad de filtraciones corporativas que involucran sistemas conectados a Salesforce. 

La empresa de seguridad despidió al “informante” después de descubrir que trabajaba con el grupo conocido como Scattered Lapsus$ Hunters, que comenzó a publicar supuestas capturas de pantalla internas entre la noche del jueves y la mañana del viernes en su canal de Telegram.

El grupo Scattered Lapsus$ publicó varias imágenes que mostraban paneles de control vinculados a recursos de la empresa, incluyendo paneles de Okta utilizados por los empleados para acceder a aplicaciones internas. Los hackers afirmaron que las capturas de pantalla provenían del empleado afectado y eran prueba de que habían logrado infiltrarse en CrowdStrike tras hackear Gainsight a principios de semana.

CrowdStrike y Gainsight siguen investigando la información robada.

Según CrowdStrike, las afirmaciones del grupo de hackers y las imágenes en Telegram pertenecían únicamente a un empleado que había compartido fotos no autorizadas de su pantalla con terceros, e insiste en que no hubo ninguna brecha en sus sistemas. 

«Nuestros sistemas nunca se vieron comprometidos y nuestros clientes permanecieron protegidos en todo momento», declaró al medio TechCrunch. Añadió que la empresa «entregó el caso a las autoridades competentes» tras revocar el acceso del empleado.

CrowdStrike afirmó que embaló el escritorio del trabajador tan pronto como se confirmó que había “compartido fotos de la pantalla de su ordenador externamente”, y que las afirmaciones que circulaban en los canales de hackers eran “falsas”.

Salesforce confirma la violación de datos de clientes.

El viernes por la mañana, Salesforce actualizó su páginadent indicando que una brecha de seguridad estaba afectando a algunos de sus clientes al provocar "fallos de conexión". Actores no autorizados habían accedido a "datos de Salesforce de ciertos clientes", aunque nodentqué organizaciones se vieron afectadas. 

Salesforce afirmó que la intrusión se produjo a través de aplicaciones desarrolladas por Gainsight, proveedor de servicios de análisis y atención al cliente.

Más tarde ese mismo día, Austin Larsen, analista principal de amenazas del Grupo de Inteligencia de Amenazas de Google en su división de ciberseguridad, dijo que la compañía “tiene conocimiento de más de 200 instancias de Salesforce potencialmente afectadas”. 

Algunos individuos, conocidos como "cazadores de lapsus", se atribuyeron públicamente la responsabilidad de haber accedido a los datos a través de las integraciones de Gainsight y utilizaron la información robada para atacar a otros clientes corporativos.

Un portavoz de ShinyHunters, uno de los grupos que forman parte del colectivo, se jactó de que “Gainsight era cliente de Salesloft Drift, se vio afectado y, por lo tanto, totalmente comprometido por nosotros”. 

Gainsight ha estado publicando actualizaciones en su páginadent desde que el ataque se hizo público. El viernes, la compañía anunció que había contratado a Mandiant, la unidad de respuesta adent de Google, para que la ayudara a investigar la brecha de seguridad. 

Salesforce también revocó temporalmente los tokens de acceso activos para las aplicaciones conectadas a Gainsight como medida de precaución, además de notificar a los clientes cuyos datos fueron robados, según las actualizaciones públicas de la empresa. 

“Los clientes de HubSpot podrían encontrar que la aplicación Gainsight se ha retirado temporalmente del HubSpot Marketplace como medida de precaución. Esto también podría afectar el acceso OAuth para las conexiones de los clientes mientras se lleva a cabo la revisión. Trabajaremos con HubSpot para volver a incluirla en la lista después de una revisión exhaustiva”, indicó un informe de progreso publicado el jueves.

La familia Lapsus$, dispersa en varias ocasiones, es responsable de varias filtraciones de datos de alto perfil.

Scattered Lapsus$ Hunters es una colaboración formada por varios grupos de ciberdelincuentes de habla inglesa, entre ellos ShinyHunters, Scattered Spider y Lapsus$. El colectivo se hizo conocido por utilizar técnicas de ingeniería social para engañar a los empleados y conseguir que revelaran sus credenciales de inicio de sesión, les concedieran acceso remoto o aprobaran solicitudes de autenticación. 

En su lista de objetivos, el grupo ha tenido como objetivo a MGM Resorts, Coinbase, DoorDash, Workday, Aflac Insurance y otras grandes empresas. En octubre, Scattered Lapsus$ Hunters afirmó haber robado más de mil millones de registros de empresas que utilizan Salesforce para gestionar la información de sus clientes.

Publicaron un directorio filtrado que incluía datos de la aseguradora Allianz Life, la aerolínea Qantas, el fabricante de automóviles Stellantis, TransUnion, la plataforma de gestión de empleados Workday y más.

En el último año y medio, la familia Scattered Lapsus$ también se ha atribuido la responsabilidad dedenten Atlassian, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters y Verizon. 

Los hackers anunciaron en su canal de Telegram que planean lanzar la próxima semana un nuevo sitio web de extorsión dirigido a las empresas afectadas en su última operación. 

“El próximo sitio de filtración de datos contendrá los datos de las campañas de Salesloft y GainSight”, compartieron los hackers sus planes con DataBreaches.net.

Afila tu estrategia con mentoría + ideas diarias: 30 días de acceso gratuito a nuestro programa de trading