Al grupo de piratas informáticos se le atribuyó la violación del proveedor de inteligencia de mercado Crew, que permitió a los piratas informáticos robar grandes cantidades de datos de los clientes corporativos de la empresa, incluidos algunos de los nombres más importantes de la industria de la ciberseguridad.
Crew, una empresa con sede en Vancouver que permite a las empresas conectar datos a sus sistemas para realizar investigaciones de mercado, dijo el viernes que los piratas informáticos robaron datos de un número no especificado de clientes en un ciberataque hace una semana. (Su blog contiene un código «noindex» que indica a los motores de búsqueda que no incluyan la página en los resultados de búsqueda).
El grupo de cibercrimen Icarus aceptó la responsabilidad por la violación y dijo en su sitio de filtración que divulgará los datos robados el lunes a menos que la compañía pague el rescate de los piratas informáticos.
Crews no dijo cuántos de sus cientos de clientes se verían afectados. Varias empresas han reconocido que sus datos fueron robados durante el ataque, incluidas Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social y Tanium.
Este es el último de una serie de incidentes de piratería importantes en los que los piratas informáticos se han dirigido a empresas que poseen claves de las bases de datos en la nube de otras empresas. Al infiltrarse en empresas como Klue, los piratas informáticos apuestan a que pueden robar datos de muchas organizaciones a la vez comprometiendo un único punto de falla. Sólo en el último año, los piratas informáticos se han dirigido cada vez más a proveedores de middleware similares, como Gainsight y Salesloft, para acceder a datos de cientos de empresas.
Klue dijo que los piratas informáticos obtuvieron acceso a sus sistemas el 12 de junio utilizando «credenciales heredadas comprometidas», como contraseñas y tokens asociados con una herramienta de integración que permite a los clientes vincular sus datos en la nube a sus cuentas de Klue.
Los piratas informáticos pudieron robar datos de la nube de clientes de Klue, incluida la base de datos de Salesforce. Las empresas suelen almacenar la información personal de sus clientes en bases de datos de Salesforce, lo que las convierte en el objetivo principal.
Según varias empresas afectadas, gran parte de los datos robados incluyen información de contacto comercial, como nombres de clientes, direcciones de correo electrónico, números de teléfono, puestos de trabajo y cierta información de cuentas.
No está claro cómo los piratas informáticos obtuvieron las credenciales comprometidas o por qué los equipos no detectaron el robo antes. Hacks similares recientes a gran escala que involucran credenciales comprometidas o mal utilizadas, como Snowflake y Tanstack, han involucrado a empleados que accidentalmente instalan malware para robar contraseñas en dispositivos que usan para trabajar.
Crewe dijo que se puso en contacto con la empresa de respuesta a incidentes CrowdStrike y desconectó la integración para evitar un mayor acceso a los datos de los clientes.
Cuando TechCrunch lo contactó el lunes, el director ejecutivo de Klue, Jason Smith, no respondió de inmediato a una solicitud de comentarios ni respondió preguntas sobre el incidente, incluido si la compañía había recibido alguna comunicación de los piratas informáticos, incluida una demanda de rescate.
Huntress, una de las empresas de seguridad cuyos datos fueron robados en el ataque, dijo en un resumen del incidente que los piratas informáticos se habían puesto en contacto con la empresa con una nota de rescate utilizando una dirección de correo electrónico de una empresa australiana y que sus servidores probablemente estaban siendo utilizados indebidamente en la campaña.
En junio pasado, Crew anunció que se estaba preparando para despedir a unas 100 personas, o aproximadamente la mitad de su fuerza laboral, mientras duplicaba su inversión en IA. No está claro si los despidos provocaron una disminución de la seguridad de la empresa. No está claro quién, además de Smith, es responsable de la ciberseguridad en la empresa.
Actualmente, Crew no incluye a la persona que supervisa la ciberseguridad en su página ejecutiva.
¿Sabes más sobre el ciberataque de Klue? ¿Su empresa está afectada por una infracción? Nos encantaría saber de usted. Puede comunicarse con Zack Whittaker de forma segura a través del nombre de usuario de Signal zackwhittaker.1337 o por correo electrónico a zack.whittaker@techcrunch.com.
Si compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta la independencia editorial.
Source link
