Поделиться
Сотрудник знаменитой ИБ-компании CrowdStrike сливал информацию хакерам за деньги
Служба безопасности компании CrowdStrike обнаружила злоумышленника из числа сотрудников и пресекла его попытку дать хакерам доступ внутрь систем компании
Угроза изнутри
Инсайдер в ИБ-компании CrowdStrike сливал данные хакерской группировке Scattered Lapsus$ Hunters. Правда, недолго: его деятельность удалось пресечь до того, как хакеры смогли получить доступ во внутренние сети компании.
Единственное, что хакеры получили точно, - это скриншоты экрана, сделанные «кротом». Эти скриншоты они опубликовали в своих каналах в Telegram.
«Инсайдерскую угрозу никогда нельзя сбрасывать со счетов: далеко не от всех можно ожидать добросовестности, особенно в условиях экономических сложностей, - указывает Александр Каушанский, генеральный директор ГК «Программный Продукт». - Поэтому необходима технологическая страховка, которая, как минимум, сильно затруднит потенциальному инсайдеру осуществление его замысла. Продвинутые XDR-системы, которые позволяют выявить угрожающие паттерны в поведении работников, - это один из вариантов страховки».
В разговоре с журналистами издания BleepingComputer представитель группировки Shiny Hunters заявил, что инсайдеру заплатили $25 тысяч за доступ внутрь сетей CrowdStrike.
Он, дескать, даже успел передать им cookie-файл аутентификации SSO, однако к этому моменту служба безопасности компании уже обнаружила подозрительную деятельность. Угрозу нейтрализовали, а «крота» моментально уволили.
«Наши системы не были скомпрометированы и клиенты остаются под защитой», - заявили в компании. - «Информация передана соответствующим правоохранительным органам».
Таким образом, «крота», по-видимому, ждут крупные неприятности с законом.
Хакеры, между тем, заявили, что они пытались выкупить данные, которыми CrowdStrike располагает в отношении ShinyHunters и Scattered Spider, но так и не получили их.
Альянс нечестивых
Хакерский альянс Scattered Lapsus$ Hunters прославился массированной волной атак на пользователей CRM-системы Salesforce. Преимущественным методом атак был голосовой фишинг: злоумышленники звонили сотрудникам компаний-жертв и выдавали себя за представителей службы техподдержки и убеждали произвести с мобильным клиентом Salesforce манипуляции, в результате чего к внутренним системам подключалась вредоносная версия приложения Salesforce Data Loader OAuth (в некоторых случаях её переименовывали в My Ticket Portal).
В результате их деятельности взлому подверглись Google, Cisco, Allianz Life, Farmers Insurance, Qantas, Adidas, Workday, а также дочерние предприятия LVMH, в том числе Dior, Louis Vuitton и Tiffany & Co.
Все они подверглись попыткам вымогательства. Хакеры также требовали деньги с Toyota, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France, KLM, FedEx, Disney/Hulu, Home Depot, Marriott, Gap, McDonald's, Walgreens, Transunion, HBO MAX, UPS, Chanel и IKEA, то есть, чуть ли ни с каждого крупного бренда в мире.
Атаке также подвергся Jaguar Land Rover, которому хакеры нанесли ущерба на $220 млн.
В ходе самой свежей волны атак SLH, по их утверждению, смогли взломать также LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign и Malwarebytes. Все эти взломы стали возможными благодаря более ранним атакам на Salesforce.
Теперь вымогатели переключились на сдачу в аренду шифровальщиков: создана целая платформа ShinySp1d3r, предлагающая множество способов вымогательства. Прошлые успехи группировок, скорее всего, положительно скажутся на привлекательности этой платформы.
Поделиться
Короткая ссылка
