Klue-datalek escaleert tot dubbele afpersing: Icarus vernietigt data, tweede groep stapt in

De bijzondere wending: Icarus verwijdert data, tweede groep eist losgeld

Icarus verwijdert de gestolen data. In een klantupdate van 25 juni, ingezien door TechCrunch, stelde Klue: "Icarus heeft ons verteld dat ze stappen ondernemen om de data die van Klue-klanten is gestolen te verwijderen. De Icarus-site blijft offline en we hebben aanwijzingen dat Icarus inderdaad stappen onderneemt om data van Klue-klanten te verwijderen" .

Een tweede, onbekende groep duikt op. Ondanks dat Icarus de data lijkt te vernietigen, heeft een tweede, naamloze hackergroep ten minste delen van de gestolen informatie in handen gekregen en probeert nu direct losgeld te krijgen van Klue-klanten . Volgens Klue's update van donderdag: "Icarus vertelde ons dat de andere partij alleen monsters van data heeft en opportunistisch en frauduleus direct betaling vraagt van een aantal van onze klanten" . Deze tweede groep plaatste een lijst met zogenaamd getroffen bedrijven op een eigen afpersingssite .

195 Organisaties getroffen

Meerdere bronnen bevestigen dat ongeveer 195 organisaties data hebben verloren. The Register spreekt van "honderden" slachtoffers , en andere bronnen specificeren dat 195 bedrijven directe afpersingsdreigementen ontvingen. Bevestigde slachtoffers zijn onder meer Huntress, Recorded Future, HackerOne, Jamf, Tanium, Gong, OneTrust, Snyk, Sprout Social, Insurity en anderen . LastPass stond niet op de lijsten van openbaar gemaakte getroffen partijen.

Hoe de aanval in zijn werk ging

• Toegang: De aanvallers gebruikten een lang sluimerend, gecompromitteerd API-wachtwoord van een verlaten integratieservice om Klue's backend binnen te dringen .
• Token-diefstal: Er werd kwaadaardige code geplaatst om OAuth-tokens te stelen die klanten aan Klue hadden gegeven voor koppelingen met Salesforce en andere platforms (waaronder Gong) .
• Data-exfiltratie: Met die tokens voerden de aanvallers geautomatiseerde queries uit tegen verbonden Salesforce-omgevingen en exfiltreerden bulk-CRM-data zoals contactgegevens, prijsinformatie en notities bij verkoopkansen .
• SaaS-toeleveringsketencompromis: Het incident wordt beschreven als een aanval via de toeleveringsketen door misbruik van integraties van derden. Klue benadrukt dat er geen bewijs is dat klantdata binnen het Klue-platform zelf is aangetast .

Officieel advies: Klue raadt klanten aan niet te betalen

Bijgestaan door CrowdStrike. Klue bevestigde dat het "CrowdStrike heeft ingeschakeld" om het onderzoek te ondersteunen en de genomen maatregelen te valideren . Het bedrijf nam onmiddellijk stappen: het introk getroffen inloggegevens en tokens, verwijderde onbevoegde code, schakelde getroffen integraties uit en stelde wetshandhaving op de hoogte .

Advies over de tweede afpersingsgroep. In de update van 25 juni adviseerde Klue klanten niet te betalen aan de tweede, onbekende groep. In plaats daarvan raadt Klue getroffen klanten aan om bewijs van de datamonsters te vragen voordat ze in gesprek gaan met afpersers, en dergelijke communicatie direct door te sturen naar Klue of de politie ter verificatie . Het bedrijf benadrukt dat de tweede groep vermoedelijk alleen "monsters" van data heeft en opportunistisch en frauduleus handelt .

Herstelwerkzaamheden. Klue voert een volledige herziening uit van beveiligingscontroles, wachtwoordbeheer, monitoring en implementatieprocessen om verdere beveiligingsmaatregelen te treffen .