Vụ Klue Bị Tấn Công Kép: Nhóm Icarus Đang Xóa Dữ Liệu, Nhóm Hacker Thứ Hai Ép 195 Khách Hàng Trả Tiền Chuộc

Tình Tiết Bất Thường: Icarus Xóa Dữ Liệu Khi Nhóm Thứ Hai Xuất Hiện

Icarus xóa dữ liệu bị đánh cắp. Trong một bản cập nhật cho khách hàng ngày 25 tháng 6 được TechCrunch xem xét, Klue cho biết: "Icarus nói với chúng tôi rằng họ đang thực hiện các bước để xóa dữ liệu lấy từ khách hàng của Klue. Trang web của Icarus vẫn ngừng hoạt động và chúng tôi có dấu hiệu cho thấy Icarus thực sự đang thực hiện các bước để xóa dữ liệu lấy từ khách hàng của Klue" .

Nhóm thứ hai không rõ danh tính nổi lên. Mặc dù Icarus có vẻ như đang tiêu hủy dữ liệu, một băng nhóm hacker thứ hai không rõ danh tính đã có được ít nhất một phần thông tin bị đánh cắp và đang trực tiếp tống tiền các khách hàng của Klue . Theo bản cập nhật hôm thứ Năm của Klue, "Icarus nói với chúng tôi rằng bên kia chỉ có các mẫu dữ liệu và đang cơ hội và gian lận tìm kiếm tiền thanh toán trực tiếp từ một số khách hàng của chúng tôi" . Nhóm thứ hai này đã đăng danh sách các công ty bị ảnh hưởng lên trang tống tiền của riêng họ .

195 Tổ Chức Bị Ảnh Hưởng

Nhiều báo cáo xác nhận rằng khoảng 195 tổ chức đã bị đánh cắp dữ liệu. The Register đưa tin về "hàng trăm" nạn nhân , với các nguồn khác chỉ rõ 195 công ty đã nhận được yêu cầu tống tiền trực tiếp. Các nạn nhân được xác nhận bao gồm Huntress, Recorded Future, HackerOne, Jamf, Tanium, Gong, OneTrust, Snyk, Sprout Social, Insurity và nhiều công ty khác . Đáng chú ý, LastPass không có tên trong bất kỳ danh sách tiết lộ nào từ các nguồn được trích dẫn, trái ngược với một số tuyên bố chưa được xác minh trước đó.

Cách Cuộc Tấn Công Diễn Ra

• Xâm nhập: Nhóm tấn công đã sử dụng thông tin đăng nhập API cũ, đã bị xâm phạm từ lâu, liên quan đến một dịch vụ tích hợp bị bỏ hoang để truy cập vào hệ thống backend của Klue .
• Thu thập token: Mã độc được cài đặt để thu thập các token OAuth mà khách hàng đã cấp cho Klue để kết nối với Salesforce và các nền tảng khác (bao gồm cả Gong) .
• Trích xuất dữ liệu: Với các token đó, nhóm tấn công thực hiện các truy vấn tự động đối với các tổ chức Salesforce đã kết nối, trích xuất hàng loạt dữ liệu CRM như danh bạ kinh doanh, thông tin giá cả và ghi chú cơ hội .
• Tấn công chuỗi cung ứng SaaS: Sự cố được mô tả là một cuộc tấn công chuỗi cung ứng thông qua các tích hợp bên thứ ba. Klue cho biết không có bằng chứng nào cho thấy nội dung khách hàng được lưu trữ trong chính nền tảng Klue bị ảnh hưởng .

Hướng Dẫn Chính Thức: Klue Khuyến Cáo Khách Hàng Không Trả Tiền Chuộc

Với sự hỗ trợ của CrowdStrike. Klue đã công khai xác nhận "đã thuê CrowdStrike" để hỗ trợ điều tra và xác thực các biện pháp ứng phó . Công ty đã thực hiện các bước ngay lập tức: thu hồi thông tin đăng nhập và token bị ảnh hưởng, xóa mã trái phép, vô hiệu hóa các tích hợp bị ảnh hưởng và thông báo cho cơ quan thực thi pháp luật .

Lời khuyên về nhóm tống tiền thứ hai. Trong bản cập nhật ngày 25 tháng 6, Klue khuyên các khách hàng bị ảnh hưởng không nên trả tiền cho nhóm không rõ danh tính thứ hai. Thay vào đó, Klue khuyến nghị các khách hàng bị ảnh hưởng yêu cầu mẫu dữ liệu làm bằng chứng trước khi tham gia vào bất kỳ yêu cầu tống tiền nào—và chuyển tiếp mọi liên lạc như vậy trực tiếp cho Klue hoặc cơ quan thực thi pháp luật để xác minh . Công ty nhấn mạnh rằng nhóm thứ hai dường như chỉ sở hữu "mẫu" dữ liệu và đang hành động một cách cơ hội và gian lận .

Khắc phục đang diễn ra. Klue đang tiến hành đánh giá toàn diện các biện pháp kiểm soát an ninh, quản lý thông tin đăng nhập, giám sát và quy trình triển khai để thực hiện các biện pháp bảo vệ bổ sung .