Компания CrowdStrike подтвердила, что в прошлом месяце ее специалисты выявили и уволили сотрудника, который передал хакерам скриншоты внутренних систем компании.
Скриншоты были опубликованы в Telegram-канале группировки Scattered Lapsus$ Hunters (объединение участников хак-групп Scattered Spider, LAPSUS$ и ShinyHunters). На изображениях были показаны панели управления со ссылками на ресурсы компании, включая панель управления Okta, используемую сотрудниками для доступа к внутренним приложениям.
Хакеры писали, что компрометация CrowdStrike связана с недавней утечкой данных у компании Gainsight, которая специализируется на управлении взаимоотношениями с клиентами. Так, Gainsight помогает клиентам Salesforce отслеживать и управлять данными клиентов, и на прошлой неделе Salesforce предупреждала, что утечка коснулась публикованных Gainsight приложений, подключенных к Salesforce.
Хотя компании не раскрывали подробной информации об этих атаках, похоже, что инцидент аналогичен взлому Salesloft в августе 2025 года. Тогда Scattered Lapsus$ Hunters похитили конфиденциальную информацию, включая пароли, ключи доступа AWS и токены Snowflake, из Salesforce клиентов, используя украденные токены OAuth для интеграции ИИ-чат-бота Drift.
Однако, по словам представителей CrowdStrike, заявления хакеров не соответствуют действительности, а опубликованные скриншоты не связаны с компрометацией Gainsight. Внутреннее расследование помогло установить, что инсайдер в компании делился фотографиями экрана своего компьютера с третьими лицами. При этом подчеркивается, что системы компании не были скомпрометированы, а данные клиентов остаются в безопасности. В настоящее время вся информация о случившемся передана правоохранительным органам.
Журналисты издания Bleeping Computer пишут, что участник группы ShinyHunters, входящей в состав Scattered Lapsus$ Hunters, сообщил им, что группировка договорилась заплатить инсайдеру 25 000 долларов за доступ к сети CrowdStrike. По словам хакера, инсайдер успел предоставить группе аутентификационные SSO-cookie, однако к тому времени CrowdStrike уже обнаружила утечку и заблокировала доступ сотрудника.
Кроме того, злоумышленники заявили, что пытались купить отчеты CrowdStrike, содержащие информацию о ShinyHunters и Scattered Spider, однако так и не получили их.
Отметим, что ранее в этом месяце издание сообщало, что группировки ShinyHunters и Scattered Spider переходят на новую RaaS-платформу (Ransomware-as-a-Service, «Вымогатель как услуга») ShinySp1d3r, отказавшись от использования сторонних шифровальщиков ALPHV/BlackCat, RansomHub, Qilin и DragonForce.
