Специалисты по кибербезопасности компании CrowdStrike выявили внутреннего нарушителя и предотвратили его попытку предоставить злоумышленникам несанкционированный доступ к корпоративным ресурсам.
Сотрудник, работавший в самой CrowdStrike, передавал информацию хакерскому объединению Scattered Lapsus$ Hunters. Однако его действия были быстро пресечены, не позволив злоумышленникам проникнуть в инфраструктуру компании.
Единственным реальным результатом для хакеров стали скриншоты, сделанные этим сотрудником, которые они впоследствии разместили в своих Telegram-каналах.
«Угроза со стороны инсайдеров всегда актуальна: в сложной экономической обстановке не на каждого можно положиться, — отмечает Александр Каушанский, генеральный директор ГК «Программный Продукт». — Поэтому критически важны технологические меры защиты, которые существенно усложнят реализацию злого умысла. Современные XDR-решения, способные обнаруживать подозрительные модели поведения сотрудников, служат одним из таких эффективных инструментов».
Как сообщили изданию BleepingComputer представители группировки Shiny Hunters, инсайдеру было предложено 25 тысяч долларов за доступ к сетям CrowdStrike.
По их словам, он даже успел передать файлы cookie для аутентификации через SSO, но к тому моменту подозрительная активность уже была зафиксирована службой безопасности. Угроза была ликвидирована, а сотрудник — немедленно уволен.
«Наши системы не подверглись компрометации, и данные клиентов находятся в безопасности, — заявили в компании. — Соответствующая информация передана правоохранительным органам».
Таким образом, внутреннему нарушителю, вероятно, грозит серьёзное судебное преследование.
Хакеры, со своей стороны, утверждают, что пытались приобрести данные, которые CrowdStrike собрала о группировках ShinyHunters и Scattered Spider, но так и не получили их.
Альянс Scattered Lapsus$ Hunters известен масштабными атаками на пользователей CRM-платформы Salesforce. Основным методом был голосовой фишинг: злоумышленники, представляясь сотрудниками технической поддержки, по телефону убеждали работников компаний-жертв выполнить манипуляции с мобильным приложением. В результате подключалась вредоносная версия инструмента Salesforce Data Loader OAuth (иногда маскирующаяся под сервис My Ticket Portal).
В числе пострадавших от их деятельности значатся Google, Cisco, Allianz Life, Farmers Insurance, Qantas, Adidas, Workday, а также ряд компаний группы LVMH, включая Dior, Louis Vuitton и Tiffany & Co.
Практически все эти компании столкнулись с требованиями выкупа. Злоумышленники также пытались получить деньги от Toyota, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France, KLM, FedEx, Disney/Hulu, Home Depot, Marriott, Gap, McDonald's, Walgreens, TransUnion, HBO MAX, UPS, Chanel и IKEA, то есть почти от каждой мировой корпорации.
Жертвой нападения стал и Jaguar Land Rover, понесший убытки в размере 220 миллионов долларов.
В рамках последней серии атак, как заявляет SLH, им удалось проникнуть в системы LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign и Malwarebytes. Все эти инциденты стали следствием более раннего взлома платформы Salesforce.
Теперь киберпреступники перешли к модели сдачи в аренду вредоносного ПО: была создана целая платформа ShinySp1d3r, предоставляющая разнообразные инструменты для вымогательства. Предыдущие успехи подобных группировок, вероятно, повысят популярность этого сервиса.
