Dobbelt utpressing rammer Klue: Icarus sletter stjålne data mens ny hackergruppe krever løsepenger

Den uvanlige vrien: Icarus sletter data – ny gruppe dukker opp

Icarus sletter stjålne data. I en kundeoppdatering 25. juni, som TechCrunch har sett, uttalte Klue: «Icarus har sagt at de tar skritt for å slette dataene som ble tatt fra Klues kunder. Icarus-nettsiden er fortsatt nede, og vi har indikasjoner på at Icarus faktisk sletter data som er tatt fra Klues kunder» .

Ny, ukjent gruppe dukker opp. Til tross for at Icarus ser ut til å ødelegge dataene, har en ny, ukjent hackergjeng fått tak i i det minste deler av den stjålne informasjonen og presser nå Klues kunder direkte . Ifølge Klues oppdatering torsdag sa Icarus at «den andre parten bare har prøver av data og opportunistisk og uredelig søker betaling direkte fra flere av våre kunder» . Denne andre gruppen har lagt ut en liste over angivelig berørte selskaper på sin egen utpressingsside .

195 organisasjoner rammet

Flere rapporter bekrefter at omtrent 195 organisasjoner fikk stjålet data. The Register meldte om «hundrevis» av ofre , og andre kilder spesifiserer at 195 selskaper mottok direkte utpressingskrav. Blant de bekreftede ofrene finner vi Huntress, Recorded Future, HackerOne, Jamf, Tanium, Gong, OneTrust, Snyk, Sprout Social, Insurity og flere . Det er verdt å merke seg at LastPass ikke var oppført i noen av de offentliggjorte listene, i motsetning til noen tidlige, ubekreftede påstander.

Slik fungerte angrepet

• Inngang: Angriperne brukte en gammel, kompromittert API-innlogging knyttet til en forlatt integreringstjeneste for å få tilgang til Klues bakside .
• Token-høsting: Ondsinnet kode ble plantet for å høste OAuth-tokener som kunder hadde gitt Klue tilgang til Salesforce og andre plattformer (inkludert Gong) .
• Dataeksfiltrering: Med disse tokenene utførte angriperne automatiserte spørringer mot tilkoblede Salesforce-organisasjoner og massehentet CRM-data som forretningskontakter, prisinformasjon og salgsnotater .
• SaaS-forsyningskjedeangrep: Hendelsen beskrives som et forsyningskjedeangrep via tredjepartsintegrasjoner. Klue understreker at det ikke er funnet bevis for at kundeinnhold lagret i selve Klue-plattformen ble påvirket .

Offisielle råd: Klue ber kundene la være å betale

Med CrowdStrike i ryggen. Klue bekreftet offentlig at de «engasjerte CrowdStrike» for å støtte etterforskningen og validere responstiltakene . Selskapet tok umiddelbare grep: de tilbakekalte berørte innlogginger og tokener, fjernet uautorisert kode, deaktiverte berørte integrasjoner og varslet politiet .

Råd om den andre utpressingsgruppen. I oppdateringen 25. juni rådet Klue kundene til ikke å betale den andre, ukjente gruppen. I stedet anbefalte Klue berørte kunder å be om dataprøver før de innleder forhandlinger – og å videresende all slik kommunikasjon til Klue eller politiet for verifisering . Selskapet understreket at den andre gruppen ser ut til å ha bare «prøver» av data og at de handler opportunistisk og uredelig .

Pågående forbedringsarbeid. Klue gjennomfører en full gjennomgang av sikkerhetskontroller, innloggingshåndtering, overvåking og utrullingsprosesser for å implementere ytterligere sikkerhetstiltak .