A empresa de cibersegurança CrowdStrike confirmou que demitiu um funcionário acusado de roubo e venda de informações da companhia para cibercriminosos. O caso aconteceu ao longo do mês de outubro deste ano.
O comportamento suspeito do colaborador foi encontrado após a confirmação de que ele tirou capturas de tela de sistemas internos, que foram compartilhadas posteriormente no Telegram pelo coletivo hacker Scattered Lapsus$ Hunters.
Os conteúdos em questão envolveriam painéis de controle corporativo, com a entrega adicional de cookies de identificação SSO (Single Sign-On) pela pessoa infiltrada para permitir o acesso remoto a sistemas e configurações corporativas pelos criminosos.
O que dizem os envolvidos
Ainda não há informações concretas sobre a tentativa de ataque, nem se ele teria ligação com invasões massivas recentes realizadas pelo coletivo. Em outubro deste ano, uma plataforma ligada à empresa Salesforce teve dados roubados envolvendo uma série de clientes.
Apesar da negação por parte de ambas as partes, o ataque pode ainda estar relacionado à brecha de segurança exposta pela Gainsight, uma plataforma de gerenciamento de clientes que trabalha com a Salesforce e teve informações roubadas pelo grupo.
- De acordo com a CrowdStrike, que enviou um comunicado ao site BleepingComputer, os sistemas da empresa não foram comprometidos e os consumidores seguem protegidos. Detalhes a respeito do caso já estão em posse de agências policiais e jurídicas.
- “Identificamos e encerramos o vínculo com um intruso suspeito no último mês seguindo uma investigação que determinou que ele compartilhou fotos do seu computador externamente”, diz a nota da CrowdStrike.
- O Bleeping Computer ainda teve acesso a uma reposta do próprio ShinyHunters, um dos grupos cibercriminosos que teria oferecido US$ 25 mil (cerca de R$ 134,5 mil) ao funcionário pelos conteúdos roubados.
- Segundo os hackers, a empresa detectou o suspeito e fechou o acesso aos próprios sistemas antes que uma invasão acontecesse.
A nova aliança é composta por cibercriminosos das gangues ShinyHunters, Scattered Spider e LAPSUS$ — todas com um histórico já cheio de invasões a empresas de grande porte. O grupo chegou a anunciar o fim das atividades há alguns meses, mas não seguiu com os planos.
Recentemente, elas têm demonstrado uma preferência pelo uso de ransomwares nos ataques e venda de kits de invasão para outros interessados (o chamado ransomware-as-a-service).
A Intel também passou por um incidente parecido com um ex-funcionário que roubos informações internas. Saiba mais sobre o caso nesta matéria!