Doppelte Erpressung bei Klue: Erste Gruppe löscht Daten, zweite Gruppe fordert Lösegeld

Am 12. Juni 2026 stellte die Marktanalyse-Plattform Klue unbefugte Aktivitäten in ihrer Integrationsinfrastruktur fest. Der Einbruch wurde von der Erpressergruppe Icarus durchgeführt, einer neuen Gruppierung, die auf ihrer Leak-Seite zuvor nur zwei Opfer gelistet hatte . Die Angreifer nutzten einen kompromittierten Legacy-Zugangsdaten eines Integrationsdienstkontos, um sich Zugang zu verschaffen, und erbeuteten anschließend OAuth-Tokens, die Kunden zur Verbindung von Klue mit Drittanbieter-Plattformen, hauptsächlich Salesforce, verwendet hatten . Mit diesen Tokens führte Icarus automatisierte Abfragen durch und exfiltrierte umfangreich Salesforce-CRM-Daten – darunter Geschäftskontakte, Verkaufschancen und Gesprächsdaten – aus den Umgebungen mehrerer Kunden .

Die ungewöhnliche Wendung: Icarus löscht Daten, zweite Gruppe greift ein

Icarus löscht gestohlene Daten. In einem Kunden-Update vom 25. Juni, das TechCrunch einsehen konnte, erklärte Klue: „Icarus hat uns mitgeteilt, dass sie Maßnahmen ergreifen, um die von Klue-Kunden gestohlenen Daten zu löschen. Die Icarus-Seite ist weiterhin offline, und wir haben Hinweise, dass Icarus tatsächlich Schritte unternimmt, die Daten zu löschen“ .

Zweite, namenlose Gruppe taucht auf. Obwohl Icarus die Daten offenbar vernichtet, hat eine zweite, unbekannte Hackergruppe zumindest Teile der gestohlenen Informationen in ihre Gewalt gebracht und erpresst nun direkt die Kunden von Klue . Laut Klues Update vom Donnerstag teilte Icarus mit, „dass die andere Partei nur Stichproben der Daten besitzt und opportunistisch sowie betrügerisch versucht, direkt von einer Reihe unserer Kunden Zahlungen zu erpressen“ . Diese zweite Gruppe veröffentlichte auf ihrer eigenen Erpressungsseite eine Liste angeblicher betroffener Unternehmen .

195 Organisationen betroffen

Mehrere Berichte bestätigen, dass Daten von etwa 195 Organisationen gestohlen wurden. The Register berichtete von „hunderten“ Opfern , andere Quellen konkretisierten, dass 195 Unternehmen direkte Erpressungsforderungen erhielten. Zu den bestätigten Opfern zählen Huntress, Recorded Future, HackerOne, Jamf, Tanium, Gong, OneTrust, Snyk, Sprout Social, Insurity und weitere . LastPass war in keiner der veröffentlichten Offenlegungslisten aufgeführt, was früheren, nicht belegten Behauptungen widerspricht.

Wie der Angriff ablief

• Eindringen: Die Angreifer nutzten eine seit langer Zeit nicht mehr genutzte, kompromittierte API-Zugangsdaten eines aufgegebenen Integrationsdienstes, um auf Klues Backend zuzugreifen .
• Token-Diebstahl: Es wurde schädlicher Code eingeschleust, um OAuth-Tokens zu stehlen, die Kunden Klue für die Verbindung zu Salesforce und anderen Plattformen (einschließlich Gong) gewährt hatten .
• Datencxflirtation: Mit diesen Tokens führten die Angreifer automatisierte Abfragen gegen verbundene Salesforce-Organisationen durch und extrahierten massenhaft CRM-Daten wie Geschäftskontakte, Preisinformationen und Notizen zu Verkaufschancen .
• SaaS-Lieferkettenkompromittierung: Der Vorfall wird als Lieferkettenangriff über Drittanbieter-Integrationen beschrieben. Klue erklärte, es gebe keine Hinweise darauf, dass Kundeninhalte, die direkt auf der Klue-Plattform gespeichert waren, betroffen seien .

Offizielle Anleitung: Klue rät Kunden von Zahlungen ab

Unterstützung durch CrowdStrike. Klue bestätigte öffentlich, dass es „CrowdStrike engagiert“ hat, um die Untersuchung zu unterstützen und die ergriffenen Maßnahmen zu validieren . Das Unternehmen ergriff sofortige Schritte: Es widerrief betroffene Zugangsdaten und Tokens, entfernte nicht autorisierten Code, deaktivierte betroffene Integrationen und informierte die Strafverfolgungsbehörden .

Hinweise zur zweiten Erpressergruppe. In seinem Update vom 25. Juni riet Klue den Kunden dringend, kein Lösegeld an die zweite, unbekannte Gruppe zu zahlen. Stattdessen empfahl Klue den betroffenen Kunden, vor der Aufnahme von Verhandlungen Beweise in Form von Datenmustern anzufordern – und alle derartigen Kommunikationen direkt an Klue oder die Strafverfolgungsbehörden zur Überprüfung weiterzuleiten . Das Unternehmen betonte, dass die zweite Gruppe offenbar nur „Stichproben“ der Daten besitze und opportunistisch und betrügerisch handle .

Laufende Schadensbehebung. Klue führt eine umfassende Überprüfung der Sicherheitskontrollen, des Zugangsdatenmanagements, der Überwachungs- und Bereitstellungsprozesse durch, um zusätzliche Schutzmaßnahmen zu implementieren .