Klue-sikkerhedsbrist udvikler sig til sjælden dobbelt afpresning: Icarus sletter data – ny gruppe kræver penge

Det usædvanlige twist: Icarus sletter data, mens en anden gruppe træder ind

Icarus sletter stjålne data. I en kundeopdatering den 25. juni, som TechCrunch har set, udtalte Klue: 'Icarus har fortalt os, at de tager skridt til at slette de data, der blev taget fra Klue-kunder. Icarus' side er stadig nede, og vi har indikationer på, at Icarus rent faktisk tager skridt til at slette data taget fra Klue-kunder' .

Anden unavngiven gruppe dukker op. På trods af at Icarus tilsyneladende ødelægger dataene, har en anden, unavngiven hackergruppe fået fat i i det mindste dele af de stjålne oplysninger og afpresser direkte Klues kunder . Ifølge Klues opdatering fra torsdag sagde Icarus, at 'den anden part kun har stikprøver af data og opportunistisk og svigagtigt søger betaling direkte fra et antal af vores kunder' . Denne anden gruppe postede en liste over angiveligt berørte virksomheder på deres egen afpresningsside .

195 organisationer berørt

Flere rapporter bekræfter, at cirka 195 organisationer fik stjålet data. The Register rapporterede om 'hundredvis' af ofre , mens andre kilder specificerer, at 195 virksomheder modtog direkte afpresningskrav. Bekræftede ofre inkluderer Huntress, Recorded Future, HackerOne, Jamf, Tanium, Gong, OneTrust, Snyk, Sprout Social, Insurity og andre . Det er værd at bemærke, at LastPass ikke var på nogen af de offentliggjorte lister, i modsætning til nogle tidlige ubekræftede påstande.

Sådan foregik angrebet

• Indtrængen: Angriberne brugte en længe inaktiv, kompromitteret API-legitimationsoplysning forbundet med en nedlagt integrationstjeneste til at få adgang til Klues backend .
• Token-høst: Ondsindet kode blev plantet for at høste OAuth-tokens, som kunder havde givet Klue til at oprette forbindelse til Salesforce og andre platforme (inklusive Gong) .
• Dataeksfiltrering: Med disse tokens udførte angriberne automatiserede forespørgsler mod tilsluttede Salesforce-organisationer og masse-eksfiltrerede CRM-data såsom forretningskontakter, prisoplysninger og noter om salgsmuligheder .
• SaaS-forsyningskædekompromis: Hændelsen beskrives som et supply-chain-angreb gennem tredjepartsintegrationer. Klue har udtalt, at der ikke er tegn på, at kundeindhold, der er gemt på selve Klue-platformen, blev påvirket .

Officiel vejledning: Klue råder kunder til ikke at betale

Bakket op af CrowdStrike. Klue bekræftede offentligt, at de 'engagerede CrowdStrike' til at støtte efterforskningen og validere afhjælpningsforanstaltningerne . Virksomheden tog straks skridt: tilbagekaldte berørte legitimationsoplysninger og tokens, fjernede uautoriseret kode, deaktiverede berørte integrationer og underrettede retshåndhævende myndigheder .

Rådgivning om den anden afpresningsgruppe. I sin opdatering den 25. juni rådede Klue kunder til ikke at betale den anden unavngivne gruppe. I stedet anbefalede Klue, at berørte kunder beder om bevis i form af dataprøver, før de indgår i nogen afpresningskrav – og at videresende sådan kommunikation direkte til Klue eller politiet til verifikation . Virksomheden understregede, at den anden gruppe kun ser ud til at have 'stikprøver' af data og handler opportunistisk og svigagtigt .

Løbende afhjælpning. Klue gennemfører en fuldstændig gennemgang af sikkerhedskontroller, legitimationshåndtering, overvågning og implementeringsprocesser for at implementere yderligere sikkerhedsforanstaltninger .