Doble extorsión a Klue: el grupo Icarus borra la información robada y un segundo grupo de ciberdelincuentes exige rescate

El giro inusual: Icarus borra los datos mientras un segundo grupo interviene

Icarus borrando los datos robados. En una actualización para clientes del 25 de junio revisada por TechCrunch, Klue declaró: "Icarus nos ha dicho que están tomando medidas para eliminar los datos extraídos de los clientes de Klue. El sitio de Icarus permanece inactivo y tenemos indicios de que Icarus está efectivamente tomando medidas para eliminar los datos tomados de los clientes de Klue" .

Surge un segundo grupo anónimo. A pesar de que Icarus parece estar destruyendo los datos, una segunda banda de hackers, sin nombre, ha obtenido al menos porciones de la información robada y está extorsionando directamente a los clientes de Klue . Según la actualización de Klue del jueves, "Icarus nos dijo que la otra parte solo tiene muestras de datos y está buscando pago de forma oportunista y fraudulenta directamente de varios de nuestros clientes" . Este segundo grupo publicó una lista de las empresas supuestamente afectadas en su propio sitio de extorsión .

195 organizaciones afectadas

Múltiples informes confirman que aproximadamente 195 organizaciones sufrieron el robo de datos. The Register reportó "cientos" de víctimas , y otras fuentes especifican que 195 empresas recibieron demandas de extorsión directas. Las víctimas confirmadas incluyen Huntress, Recorded Future, HackerOne, Jamf, Tanium, Gong, OneTrust, Snyk, Sprout Social, Insurity, y otras . Cabe destacar que LastPass no aparece en ninguna de las listas de divulgación citadas, al contrario de algunos reclamos iniciales no verificados.

Cómo funcionó el ataque

• Entrada: Los atacantes utilizaron una credencial API comprometida y en desuso, asociada a un servicio de integración abandonado, para acceder al backend de Klue .
• Robo de tokens: Se implantó código malicioso para robar los tokens OAuth que los clientes habían otorgado a Klue para conectarse a Salesforce y otras plataformas (incluyendo Gong) .
• Exfiltración de datos: Con esos tokens, los atacantes realizaron consultas automatizadas contra las organizaciones de Salesforce conectadas, extrayendo de forma masiva datos de CRM como contactos comerciales, información de precios y notas de oportunidades .
• Compromiso de la cadena de suministro SaaS: El incidente se describe como un ataque a la cadena de suministro a través de integraciones de terceros. Klue afirmó que no hay evidencia de que el contenido de los clientes almacenado dentro de la propia plataforma Klue se haya visto afectado .

Guía oficial: Klue aconseja a los clientes no pagar

Respaldado por CrowdStrike. Klue confirmó públicamente que "contrató a CrowdStrike" para apoyar la investigación y validar las medidas de respuesta . La empresa tomó medidas inmediatas: revocar las credenciales y tokens afectados, eliminar el código no autorizado, deshabilitar las integraciones comprometidas y notificar a las autoridades .

Aviso sobre el segundo grupo de extorsión. En su actualización del 25 de junio, Klue recomendó a los clientes no pagar al segundo grupo anónimo. En su lugar, Klue sugirió que los clientes afectados solicitaran muestras de los datos como prueba antes de interactuar con cualquier demanda de extorsión, y que reenviaran cualquier comunicación de este tipo directamente a Klue o a las autoridades para su verificación . La empresa enfatizó que el segundo grupo parece poseer solo "muestras" de datos y está actuando de manera oportunista y fraudulenta .

Remediación en curso. Klue está llevando a cabo una revisión completa de los controles de seguridad, la gestión de credenciales, la monitorización y los procesos de despliegue para implementar salvaguardas adicionales .