Хакери Icarus видаляють викрадені дані Klue, але з’являється друга група, яка вимагає викуп у 195 компаній

Незвичайний поворот: Icarus видаляє дані, а друга група починає шантаж

У листі до клієнтів від 25 червня, з яким ознайомилося видання TechCrunch, Klue повідомила: "Icarus сказали нам, що вони вживають заходів для видалення даних, отриманих від клієнтів Klue. Сайт Icarus залишається недоступним, і ми маємо ознаки того, що Icarus дійсно видаляє ці дані" .

Незважаючи на те, що Icarus, схоже, знищує викрадену інформацію, друга, неназвана хакерська група отримала принаймні частину даних і почала безпосередньо вимагати викуп у клієнтів Klue . У своєму оновленні від 26 червня Klue заявила: "Icarus повідомили нам, що інша сторона має лише зразки даних і опортуністично та шахрайсько вимагає оплати безпосередньо від деяких наших клієнтів" . Друга група навіть опублікувала список нібито постраждалих компаній на власному сайті витоку даних .

195 постраждалих організацій

Численні звіти підтверджують, що дані були викрадені приблизно у 195 організацій. Видання The Register повідомило про "сотні" жертв . Серед підтверджених постраждалих — компанії Huntress, Recorded Future, HackerOne, Jamf, Tanium, Gong, OneTrust, Snyk, Sprout Social, Insurity та багато інших . Важливо зазначити: попри ранні неперевірені чутки, LastPass не фігурує в жодному з офіційних списків постраждалих.

Як відбувалася атака

• Доступ: Зловмисники використали давно неактивний та скомпрометований API-ключ занедбаного інтеграційного сервісу для входу в систему Klue .
• Викрадення токенів: Вони впровадили шкідливий код, який викрадав OAuth-токени, надані клієнтами для підключення Klue до Salesforce та інших платформ .
• Витік даних: Використовуючи токени, хакери виконали автоматизовані запити до підключених систем Salesforce та масово вивантажили CRM-дані, включаючи контакти, цінову інформацію та примітки до угод .
• Атака на ланцюжок постачання: Інцидент описується як атака на ланцюжок постачання через сторонні інтеграції. Klue заявила, що немає доказів впливу на дані клієнтів, що зберігалися безпосередньо на платформі Klue .

Офіційні рекомендації Klue: клієнтам радять не платити

Підтримка CrowdStrike. Klue підтвердила, що "залучила CrowdStrike" до розслідування та підтвердження заходів реагування . Компанія негайно вжила заходів: відкликала скомпрометовані облікові дані та токени, видалила несанкціонований код, відключила уражені інтеграції та повідомила правоохоронні органи .

Рекомендації щодо другої групи. У своєму оновленні від 25 червня Klue порадила клієнтам не платити другій неназваній групі. Натомість Klue рекомендувала постраждалим клієнтам вимагати зразки даних як доказ, перш ніж вступати в будь-які переговори, а також передавати всю комунікацію Klue або правоохоронцям для перевірки . Компанія наголосила, що друга група, ймовірно, володіє лише "зразками" даних і діє опортуністично та шахрайськи .

Подальше вдосконалення. Klue проводить повний огляд заходів безпеки, управління обліковими даними, моніторингу та процесів розгортання для впровадження додаткових захистів .