شركة الأمن السيبراني الأميركية CrowdStrike أكدت أن موظفاً داخلياً شارك لقطات شاشة التقطها من أنظمة داخلية، مع قراصنة، بعد نشرها على قناة تلجرام تابعة لمجموعة التهديد “Scattered Lapsus$ Hunters”. ومع ذلك، أكدت الشركة أن أنظمتها لم تتعرض للاختراق وأن بيانات العملاء لم تتعرض للخطر.
وكان المتحدث باسم CrowdStrike قال إن شركته “حددنا وأنهينا عمل موظف داخلي مريب الأسبوع الماضي بعد تحقيق داخلي أظهر أنه شارك صوراً لشاشة جهازه خارِجياً”. وأضاف “لم تتعرض أنظمتنا للخرق وظل العملاء محميين طيلة الوقت. وقد سلمنا القضية للجهات المعنية بإنفاذ القانون”.
لم تصرح CrowdStrike باسم مجموعة التهديد المسؤولة أو دوافع الموظف. لكن البيان ورد رداً على استفسارات بشأن لقطات شاشة لأنظمة CrowdStrike نشرت مؤخراً على تلجرام بحوزة مجموعات التهديد ShinyHunters وScattered Spider وLapsus$.
من جانبها، قالت ShinyHunters إنها اتفقت مع الموظف الداخلي على دفع 25,000 دولار مقابل تمكينهم من الوصول إلى شبكة CrowdStrike. وذكرت أنهم حصلوا في نهاية الأمر على ملفات تعريف المصادقة SSO من الموظف، إلا أن CrowdStrike كانت قد اكتشفته وأوقفت وصوله للشبكة بالفعل. كما أضافت مجموعة الابتزاز أنها حاولت شراء تقارير حول ShinyHunters وScattered Spider من CrowdStrike، لكنها لم تتلقها.
مجموعة “Scattered Lapsus$ Hunters”
هذه المجموعات، التي توحدت تحت اسم Scattered Lapsus$ Hunters، سبق أن أطلقت موقعاً لتسريب البيانات لابتزاز عشرات الشركات المتضررة من موجة ضخمة من خروقات Salesforce. واستهدفت منذ بداية العام مستخدمي Salesforce عبر هجمات تصيد صوتي (Vishing)، واخترقت شركات مثل Google وCisco وAllianz Life وFarmers Insurance وQantas وAdidas وWorkday، فضلاً عن شركات تابعة لمجموعة LVMH مثل Dior وLouis Vuitton وTiffany & Co.
من بين الشركات التي حاولت ابتزازها أسماء كبيرة مثل Google وCisco وToyota وInstacart وCartier وAdidas وAir France & KLM وFedEx وDisney/Hulu وHome Depot وMarriott وGap وMcDonald’s وWalgreens وTransUnion وHBO MAX وUPS وChanel وIKEA.
زعمت المجموعة أيضاً مسؤوليتهم عن اختراق Jaguar Land Rover (JLR) وسرقة بيانات حساسة وتعطيل العمليات. وكما ذكرت التقارير الصادرة مؤخراً، فإن مجموعتي الابتزاز ShinyHunters وScattered Spider تتحولان الآن إلى منصة لبرمجيات الفدية تدعى ShinySp1d3r، بعد أن كانتا تستخدمان مشغلي تشفير آخرين في هجماتهما مثل ALPHV/BlackCat وRansomHub وQilin وDragonForce.
في يوم الخميس الماضي، زعمت ShinyHunters أيضاً تنفيذ موجة جديدة من سرقات البيانات التي طالت بيئات Salesforce لأكثر من 280 شركة. وذكرت في رسائل تلجرام أن قائمة الشركات المخترقة تضم أسماء كبيرة مثل LinkedIn وGitLab وAtlassian وThomson Reuters وVerizon وF5 وSonicWall وDocuSign وMalwarebytes. وأوضحت المجموعات أنها اخترقت بيئات Salesforce بعد اختراق Gainsight باستخدام أسرار مسروقة في خرق Salesloft.
