Source: BleepingComputer (Sergiu Gatlan). Le média rapporte que CrowdStrike a confirmé avoir identifié et licencié le mois dernier un employé ayant partagé des captures d’écran de systèmes internes, après la publication d’images sur Telegram par des membres de groupes se présentant comme ShinyHunters, Scattered Spider et Lapsus$.

CrowdStrike indique que ses systèmes n’ont pas été compromis et que les données clients n’ont pas été affectées, l’accès réseau de l’employé ayant été coupé. L’entreprise a transmis l’affaire aux autorités compétentes.

Côté attaquants, ShinyHunters affirme avoir proposé 25 000 $ à l’insider pour obtenir un accès, et dit avoir reçu des cookies d’authentification SSO avant que l’accès ne soit révoqué. Les extorqueurs disent aussi avoir tenté d’acheter des rapports de CrowdStrike sur ShinyHunters et Scattered Spider, sans les obtenir. BleepingComputer attend des confirmations additionnelles de CrowdStrike sur ces points.

Le collectif « Scattered Lapsus$ Hunters » revendique par ailleurs des campagnes d’extorsion et vols de données visant des instances Salesforce, appuyées par du phishing vocal. Ils citent de nombreuses entreprises touchées ou visées (Google, Cisco, Allianz Life, Qantas, Adidas, Workday, LVMH/Dior/Louis Vuitton/Tiffany & Co., etc.) et revendiquent l’incident Jaguar Land Rover avec de lourds impacts financiers.

Les groupes ShinyHunters et Scattered Spider basculent vers une plateforme RaaS nommée « ShinySp1d3r ». ShinyHunters revendique une nouvelle vague de vols de données affectant plus de 280 instances Salesforce, listant des noms comme LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign et Malwarebytes. Ils disent avoir compromis Salesforce après une intrusion chez Gainsight via des secrets dérobés lors de la breach Salesloft drift.

IOCs et TTPs observés/rapportés:

  • TTPs: 🕵️ Recrutement d’insider et paiement proposé; 🔐 vol/usage de cookies SSO; 🎣 phishing vocal ciblant des clients Salesforce; 🧩 extorsion via site de fuite; 🧪 bascule vers RaaS (ShinySp1d3r); 🔗 compromission en chaîne (Gainsight) via secrets issus de la breach Salesloft drift.
  • IOCs: Aucun IoC technique (IP, domaines, hachages) publié dans l’article.

Type d’article: article de presse spécialisé synthétisant un incident interne chez CrowdStrike et l’activité élargie des groupes d’extorsion liés, avec mises à jour contextuelles sur leurs campagnes.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/crowdstrike-catches-insider-feeding-information-to-hackers/#shinyhunters