Dupla Extorsão na Klue: Grupo Icarus Deleta Dados Roubados Enquanto Segundo Grupo Exige Resgate de 195 Vítimas

Em 12 de junho de 2026, a Klue, plataforma de inteligência de mercado, identificou atividade não autorizada em sua infraestrutura de integrações. A violação foi executada pelo grupo de extorsão Icarus, um novo grupo criminoso que, até então, tinha apenas duas vítimas listadas em seu site de vazamento . Os invasores exploraram uma credencial legada comprometida associada a uma conta de serviço de integração para obter acesso. Em seguida, eles roubaram tokens OAuth que os clientes usavam para conectar a Klue a plataformas de terceiros, principalmente o Salesforce . De posse desses tokens, o Icarus fez consultas em massa e exfiltrou dados de CRM do Salesforce—incluindo contatos comerciais, oportunidades e dados de conversas de vendas—de diversos ambientes de clientes .

A Reviravolta Incomum: Icarus Deleta os Dados Enquanto um Segundo Grupo Assume

Icarus deletando os dados roubados. Em uma atualização para os clientes em 25 de junho, revisada pelo TechCrunch, a Klue afirmou: "O Icarus nos disse que está tomando medidas para deletar os dados obtidos dos clientes da Klue. O site do Icarus continua fora do ar e temos indícios de que o Icarus está, de fato, tomando medidas para deletar os dados" .

Segundo grupo anônimo surge. Apesar do Icarus aparentemente estar destruindo os dados, um segundo grupo de hackers, não identificado, obteve pelo menos partes das informações roubadas e está extorquindo diretamente os clientes da Klue . De acordo com a atualização da Klue na quinta-feira, "o Icarus nos disse que a outra parte tem apenas amostras de dados e está agindo de forma oportunista e fraudulenta, buscando pagamento diretamente de vários de nossos clientes" . Este segundo grupo publicou uma lista de empresas supostamente afetadas em seu próprio site de extorsão .

195 Organizações Afetadas

Múltiplos relatórios confirmam que aproximadamente 195 organizações tiveram dados roubados. O The Register noticiou "centenas" de vítimas , com outras fontes especificando que 195 empresas receberam demandas diretas de extorsão. Entre as vítimas confirmadas estão Huntress, Recorded Future, HackerOne, Jamf, Tanium, Gong, OneTrust, Snyk, Sprout Social, Insurity, entre outras . É importante notar que a LastPass não foi listada em nenhuma das listas de divulgação das fontes originais, ao contrário de alguns boatos iniciais não verificados.

Como o Ataque Funcionou

• Entrada: Os invasores usaram uma credencial de API comprometida e há muito inativa, associada a um serviço de integração abandonado, para acessar o backend da Klue .
• Roubo de tokens: Um código malicioso foi inserido para roubar os tokens OAuth que os clientes haviam concedido à Klue para conexão com o Salesforce e outras plataformas (incluindo o Gong) .
• Exfiltração de dados: De posse dos tokens, os invasores realizaram consultas automatizadas contra as organizações do Salesforce conectadas, extraindo em massa dados de CRM, como contatos comerciais, informações de preços e anotações de oportunidades .
• Comprometimento da cadeia de suprimentos SaaS: O incidente é descrito como um ataque à cadeia de suprimentos por meio de integrações de terceiros. A Klue afirmou que não há evidências de que o conteúdo do cliente armazenado na própria plataforma Klue tenha sido impactado .

Orientações Oficiais: Klue Aconselha Clientes a Não Pagarem

Com suporte da CrowdStrike. A Klue confirmou publicamente que "contratou a CrowdStrike" para apoiar a investigação e validar as medidas de resposta . A empresa tomou medidas imediatas: revogação de credenciais e tokens afetados, remoção de código não autorizado, desativação das integrações impactadas e notificação às autoridades .

Orientação sobre o segundo grupo de extorsão. Em sua atualização de 25 de junho, a Klue aconselhou os clientes a não pagarem o segundo grupo anônimo. Em vez disso, a Klue recomenda que os clientes afetados solicitem amostras dos dados como prova antes de qualquer negociação com as demandas de extorsão—e que encaminhem qualquer comunicação desse tipo diretamente para a Klue ou para as autoridades para verificação . A empresa enfatizou que o segundo grupo parece possuir apenas "amostras" de dados e está agindo de forma oportunista e fraudulenta .

Remediação em andamento. A Klue está conduzindo uma revisão completa dos controles de segurança, gerenciamento de credenciais, monitoramento e processos de implantação para implementar salvaguardas adicionais .