Хакерське угруповання взяло на себе відповідальність за злам сервісу ринкової аналітики Klue, унаслідок якого зловмисники викрали великі масиви даних корпоративних клієнтів компанії, серед яких — низка провідних гравців ринку кібербезпеки.
Канадська компанія Klue з Ванкувера, що надає бізнесам інструменти для ринкових досліджень шляхом під’єднання їхніх даних до своїх систем, у п’ятницю повідомила, що під час кібератаки тижневої давнини хакери викрали дані невизначеної кількості клієнтів.
Кіберзлочинне угруповання Icarus заявило на своєму «лів-сайті», що оприлюднить здобуті дані в понеділок, якщо компанія не заплатить викуп.
Klue не розкриває, скільки саме з її сотень клієнтів постраждали. Водночас низка компаній уже підтвердила крадіжку своїх даних унаслідок атаки, зокрема Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social і Tanium.
Ця атака — ще один приклад масштабних зламів, у межах яких хакери цілять у компанії, що мають доступ до хмарних баз даних інших бізнесів. Компрометуючи такі фірми, як Klue, зловмисники розраховують, що злам «єдиної точки відмови» дозволить їм отримати дані одразу великої кількості організацій. Лише за минулий рік хакери дедалі активніше атакують схожих постачальників проміжного програмного забезпечення, зокрема Gainsight і Salesloft, щоб дістатися до даних сотень компаній.
За даними Klue, зловмисники отримали доступ до її систем 12 червня, використавши «скомпрометовані застарілі облікові дані» — наприклад, пароль або токен, пов’язані з інтеграційним інструментом, який дозволяє клієнтам під’єднувати свої хмарні дані до облікових записів у Klue.
Хакерам вдалося викрасти дані з хмарних середовищ клієнтів Klue, зокрема з баз даних Salesforce. Компанії часто зберігають у Salesforce персональні дані своїх клієнтів, що робить ці системи привабливою ціллю.
За словами постраждалих компаній, значна частина викрадених даних — це ділова контактна інформація: імена, адреси електронної пошти, номери телефонів, посади, а також певні облікові дані їхніх клієнтів.
Невідомо, як саме хакери отримали скомпрометовані облікові дані та чому Klue не виявила крадіжку раніше. Подібні нещодавні масові злами, пов’язані з компрометацією та зловживанням обліковими даними, як-от інциденти в Snowflake та TanStack, було пов’язано з тим, що співробітники ненароком встановлювали на робочі пристрої шкідливе програмне забезпечення, яке викрадало паролі.
У Klue заявили, що залучили до розслідування інциденту фірму CrowdStrike, а також від’єднали інтеграції, щоб запобігти подальшому доступу до даних клієнтів.
У понеділок CEO Klue Джейсон Сміт не відповів на запит TechCrunch щодо коментаря й не надав відповіді на питання про інцидент, зокрема про те, чи отримувала компанія прямі звернення від хакерів, як-от вимогу про викуп.
Huntress, одна з компаній з кібербезпеки, чиї дані були викрадені, у власному звіті про інцидент повідомила, що хакери надіслали їй записку з вимогою викупу з використанням адреси електронної пошти австралійської компанії, сервери якої, ймовірно, було скомпрометовано для цієї кампанії.
У червні минулого року Klue заявила, що готується скоротити близько половини персоналу — приблизно 100 людей — щоб посилити інвестиції в штучний інтелект. Наразі невідомо, чи могло скорочення штату призвести до ослаблення заходів безпеки в компанії. Також не зрозуміло, хто, окрім Сміта, нині відповідає за кібербезпеку в Klue.
Наразі на сторінці топменеджменту Klue немає жодної посадової особи, відповідальної за кібербезпеку.