21 Kasım 12:04 EST Güncellemesi: Hikaye, bilgisayar korsanlarından gelen bilgilerle güncellendi.
Amerikan siber güvenlik firması CrowdStrike, Scattered Lapsus$ Hunters tehdit aktörleri tarafından Telegram'a sızdırıldıktan sonra içeriden birinin dahili sistemlerde alınan ekran görüntülerini bilgisayar korsanlarıyla paylaştığını doğruladı.
Ancak şirket, bu olay sonucunda sistemlerinin ihlal edilmediğini ve müşterilerin verilerinin tehlikeye atılmadığını kaydetti.
Bir CrowdStrike sözcüsü bugün BleepingComputer'a yaptığı açıklamada, "Bilgisayar ekranının resimlerini harici olarak paylaştığını belirleyen dahili bir soruşturmanın ardından geçen ay içeriden şüpheli bir kişiyi tespit ettik ve sonlandırdık" dedi.
"Sistemlerimizden hiçbir zaman ödün verilmedi ve müşterilerimiz baştan sona korunmaya devam etti. Davayı ilgili kolluk kuvvetlerine devrettik."
CrowdStrike, olaydan sorumlu olan tehdit grubunu ya da ekran görüntülerini paylaşan kötü niyetli kişilerin motivasyonlarını belirtmedi.
Ancak bu açıklama, ShinyHunters, Scattered Spider ve Lapsus$ tehdit gruplarının üyeleri tarafından yakın zamanda Telegram'da yayınlanan CrowdStrike sistemlerinin ekran görüntülerine ilişkin BleepingComputer'ın sorularına yanıt olarak yapıldı.
ShinyHunters bugün erken saatlerde BleepingComputer'a, CrowdStrike'ın ağına erişim sağlamaları için içerdekilere 25.000 dolar ödemeyi kabul ettiklerini iddia etti.
Tehdit aktörleri sonuçta SSO kimlik doğrulama çerezlerini içeriden aldıklarını iddia etti, ancak o zamana kadar içeriden şüphelenilen kişi, ağ erişimini kapatan CrowdStrike tarafından zaten tespit edilmişti.
Gasp grubu, ShinyHunters ve Scattered Spider ile ilgili CrowdStrike raporlarını da satın almaya çalıştıklarını ancak bu raporları alamadıklarını ekledi.
BleepingComputer, bu bilgilerin doğru olup olmadığını doğrulamak için CrowdStrike ile tekrar iletişime geçti ve ek bilgi alırsak hikayeyi güncelleyecek.
Artık kendilerine topluca "Dağınık Lapsus$ Avcıları" adını veren bu gruplar, daha önce, büyük bir Salesforce ihlal dalgasından etkilenen düzinelerce şirkete şantaj yapmak için bir veri sızıntısı sitesi başlatmıştı.
Dağınık Lapsus$ Avcıları, yılın başından bu yana sesli kimlik avı saldırılarıyla Salesforce müşterilerini hedef alıyor; Google, Cisco, Allianz Life, Farmers Insurance, Qantas, Adidas ve Workday gibi şirketlerin yanı sıra Dior, Louis Vuitton ve Tiffany & Co gibi LVMH yan şirketlerini ihlal ediyor.
Şantaj yapmaya çalıştıkları şirketler arasında Google, Cisco, Toyota, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France & KLM, FedEx, Disney/Hulu, Home Depot, Marriott, Gap, McDonald's, Walgreens, Transunion, HBO MAX, UPS, Chanel ve IKEA gibi yüksek profilli markalar ve kuruluşlar yer alıyor.
Dağınık Lapsus$ Avcıları ayrıca Jaguar Land Rover (JLR) ihlalinin sorumluluğunu da üstlendi, hassas verileri çaldı ve operasyonları önemli ölçüde aksatarak son çeyrekte 196 milyon £'un (220 milyon $) üzerinde hasara yol açtı.
BleepingComputer'ın bu hafta bildirdiği gibi, ShinyHunters ve Scattered Spider gasp grupları, daha önce ALPHV/BlackCat, RansomHub, Qilin ve DragonForce gibi diğer fidye yazılımı çetelerinin şifreleyicilerini saldırılarda kullandıktan sonra ShinySp1d3r adlı yeni bir hizmet olarak fidye yazılımı platformuna geçiyor.
Bu perşembe günü ShinyHunters ayrıca 280'den fazla şirkete ait Salesforce örneklerini etkilediği iddia edilen yeni bir veri hırsızlığı saldırıları dalgasını da iddia etti. Bugünkü Telegram mesajlarında, ihlal edilen şirketlerin listesinin aralarında LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign ve Malwarebytes'in de bulunduğu çok sayıda yüksek profilli ismin yer aldığı belirtildi.
Tehdit aktörlerinin dün BleepingComputer'a söylediği gibi, Salesloft drift ihlalinde çalınan sırları kullanarak Gainsight'ı ihlal ettikten sonra Salesforce örneklerini tehlikeye attılar.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.
ShinySp1d3r ile tanışın: ShinyHunters tarafından oluşturulan yeni Hizmet Olarak Fidye Yazılımı
Salesforce, yaygın veri hırsızlığı saldırıları nedeniyle fidye ödemeyi reddediyor
Oracle, Clop veri hırsızlığı saldırılarında istismar edilen EBS sıfır gün yamalarını yayınladı
Red Hat veri ihlali, ShinyHunters'ın şantajlara katılmasıyla artıyor
ShinyHunters, 39 kurbana şantaj yapmak için Salesforce veri sızıntısı sitesini başlattı
Kaynak: Bleeping Computer