CrowdStrike mengonfirmasi adanya insiden keterlibatan orang dalam yang membagikan cuplikan layar dari sistem internal perusahaan kepada kelompok peretas. Temuan ini muncul setelah sejumlah gambar antarmuka internal CrowdStrike beredar di Telegram melalui kelompok Scattered Lapsus$ Hunters. Meski demikian, perusahaan menegaskan bahwa tidak ada pelanggaran terhadap sistem inti maupun data pelanggan.
Dalam pernyataan resminya, CrowdStrike menjelaskan bahwa individu tersebut telah teridentifikasi dan diberhentikan pada bulan lalu setelah investigasi internal membuktikan adanya tindakan berbagi tangkapan layar ke pihak eksternal. Perusahaan juga menambahkan bahwa seluruh sistem tetap aman dan pelanggan tidak terdampak, serta kasus ini telah diserahkan kepada aparat penegak hukum.
Meskipun CrowdStrike tidak merinci kelompok yang terlibat maupun motif di balik tindakan insider tersebut, informasi ini muncul bersamaan dengan pertanyaan terkait unggahan tangkapan layar oleh beberapa kelompok seperti ShinyHunters, Scattered Spider, dan Lapsus$. ShinyHunters mengklaim bahwa mereka menawarkan pembayaran sebesar $25.000 kepada sang insider untuk mendapatkan akses ke jaringan CrowdStrike. Mereka juga menyebut telah menerima cookie autentikasi SSO, meski pada saat itu akses insider tersebut sudah ditutup oleh tim keamanan CrowdStrike.
Selain itu, para pelaku juga mengungkapkan upaya membeli laporan internal CrowdStrike mengenai ShinyHunters dan Scattered Spider, namun tidak mendapatkan dokumen yang dimaksud. Hingga kini, perusahaan masih melakukan klarifikasi lanjutan atas klaim tersebut.
Ekspansi Aktivitas “Scattered Lapsus$ Hunters”
Kelompok gabungan yang menamakan diri sebagai Scattered Lapsus$ Hunters ini sebelumnya telah meluncurkan situs kebocoran data untuk memeras puluhan perusahaan yang menjadi korban rangkaian serangan terhadap layanan Salesforce. Sepanjang tahun ini, mereka aktif menargetkan pelanggan Salesforce melalui serangan voice phishing yang berhasil menembus berbagai perusahaan besar seperti Google, Cisco, Allianz Life, Qantas, Adidas, Workday, hingga beberapa merek di bawah LVMH seperti Dior, Louis Vuitton, dan Tiffany & Co.
Target pemerasan kelompok ini juga mencakup berbagai brand ternama, termasuk Toyota, Instacart, Cartier, Saks Fifth Avenue, Air France–KLM, FedEx, Disney/Hulu, Home Depot, Marriott, dan UPS. Mereka bahkan mengaku bertanggung jawab atas insiden besar yang menimpa Jaguar Land Rover (JLR), yang menyebabkan gangguan operasional signifikan dan kerugian yang diklaim mencapai lebih dari £196 juta pada kuartal terakhir.
Dalam perkembangan terbaru, ShinyHunters dan Scattered Spider disebut beralih ke platform ransomware-as-a-service baru bernama ShinySp1d3r setelah sebelumnya menggunakan beberapa enkripsi dari kelompok lain. ShinyHunters juga mengklaim gelombang baru serangan pencurian data yang berdampak pada lebih dari 280 perusahaan yang menggunakan Salesforce, termasuk sejumlah nama besar seperti LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign, dan Malwarebytes. Menurut mereka, akses awal diperoleh melalui pelanggaran terhadap Gainsight menggunakan kredensial yang dicuri dari insiden Salesloft Drift.