Un employé de CrowdStrike a été licencié après avoir partagé des captures d’écran des systèmes internes avec les pirates de Scattered Lapsus$ Hunters. Faut-il s’inquiéter ? Voici ce que l’on sait.
Un incident détecté à temps par CrowdStrike
L’éditeur CrowdStrike, spécialisé dans la cybersécurité, a confirmé que l’un de ses salariés avait été approché par des pirates informatiques. Par l’intermédiaire de Telegram, il a partagé des captures d’écran prises sur des systèmes internes avec des cybercriminels.
“Nous avons identifié et licencié un employé suspect le mois dernier à la suite d’une enquête interne qui a déterminé qu’il avait partagé des photos de son écran d’ordinateur à l’extérieur.”, a précisé un porte-parole de CrowdStrike à BleepingComputer. Par ailleurs, CrowdStrike tient à rassurer tout le monde en insistant sur le fait qu’aucune intrusion n’a eu lieu et aucune donnée client n’a été compromise.
De son côté, CrowdStrike ne précise ni les motivations de l’employé, ni à quel groupe il aurait fourni ces informations. Toutefois, le timing de cette communication concorde avec la publication sur Telegram de captures d’écran d’outils internes de CrowdStrike par les groupes ShinyHunters, Scattered Spider et Lapsus$. D’après BleepingComputer, le groupe ShinyHunters aurait même promis 25 000 dollars à l’employé pour obtenir un accès au réseau de CrowdStrike.
Les pirates affirment avoir reçu des cookies SSO, mais l’accès aurait été coupé immédiatement après la détection de l’activité suspecte par CrowdStrike. C’était moins une… Désormais, l’employé a été licencié et l’affaire transmise aux autorités compétentes.
Un collectif de pirates friands des grandes entreprises
Réunis sous la bannière Scattered Lapsus$ Hunters, ces groupes de pirates multiplient les opérations d’extorsion et les fuites de données auprès de grandes entreprises, en profitant notamment de la compromission des environnements Salesforce. Il y a quelques jours, ShinyHunters a affirmé avoir compromis plus de 280 instances Salesforce, incluant des instances d’entreprises comme LinkedIn, GitLab, Atlassian, Verizon ou encore DocuSign.
Pour le reste des attaques, leurs cibles incluent des entreprises importantes comme Google, Allianz Life, Qantas, Adidas, Workday ou encore des filiales de LVMH (Dior, Louis Vuitton, Tiffany & Co.). Sans oublier le piratage de Jaguar Land Rover, qui aurait entraîné plus de 196 millions de livres de pertes.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.