Underc0de - La Casa de los Informáticos

La firma estadounidense de ciberseguridad CrowdStrike confirmó públicamente una brecha de seguridad interna provocada por un insider malicioso, quien compartió capturas de pantalla de sistemas internos con actores de amenazas vinculados a los grupos ShinyHunters, Scattered Spider y Lapsus$.

Aunque la filtración generó un fuerte impacto mediático, la empresa aseguró que sus sistemas no fueron comprometidos y que los datos de los clientes permanecen protegidos en todo momento.

Este incidente vuelve a poner sobre la mesa uno de los riesgos más críticos en ciberseguridad corporativa: la amenaza interna (insider threat), incluso en compañías especializadas en seguridad informática de alto nivel.

¿Qué ocurrió exactamente en CrowdStrike?

Según declaraciones ofrecidas por CrowdStrike a BleepingComputer, la empresa detectó y neutralizó al infiltrado el mes pasado, luego de una investigación interna que reveló que:

El empleado tomó fotografías de la pantalla de su ordenador mostrando sistemas internos.

Dichas imágenes fueron compartidas con actores maliciosos externos.

Posteriormente, estas capturas se filtraron en canales de Telegram asociados con grupos criminales.

CrowdStrike enfatizó que no se produjo ningún acceso no autorizado a sus sistemas internos, y que el insider fue eliminado antes de que pudiera facilitar un compromiso real de la infraestructura.

Citar"Nuestros sistemas nunca se vieron comprometidos y los clientes permanecieron protegidos en todo momento. El caso ya ha sido transferido a las autoridades competentes", declaró un portavoz oficial.

Participación de ShinyHunters, Scattered Spider y Lapsus$

Los grupos involucrados forman parte de una alianza informal conocida como "Scattered Lapsus$ Hunters", un colectivo criminal que ha sido vinculado a múltiples campañas de:

• Robo de datos corporativos
• Extorsión mediante filtración
• Ingeniería social avanzada
• Phishing por voz (vishing)

Según información revelada por los propios atacantes:

• Ofrecieron al insider 25.000 dólares por acceso a la red de CrowdStrike.
• Afirman haber recibido cookies de autenticación SSO.
• Sin embargo, para ese momento, el acceso ya había sido deshabilitado por la empresa.

Además, intentaron comprar informes internos sobre investigaciones relacionados con ellos mismos, algo que CrowdStrike negó que llegara a suceder.

Expansión de ataques contra clientes de Salesforce

Los llamados Cazadores de Lapsus$ Dispersos están trabajando activamente en una gran campaña de intrusión contra entornos Salesforce, afectando a cientos de organizaciones a nivel global.

Estos actores están relacionados con:

• Filtraciones masivas de datos corporativos.
• Compromisos de infraestructura SaaS.
• Ataques dirigidos mediante ingeniería social y explotación de credenciales.

Empresas que han sido blanco de estos ataques incluyen:

• Google
• Cisco
• Allianz Life
• Qantas
• Adidas
• Workday
• LVMH (Dior, Louis Vuitton, Tiffany & Co.)
• FedEx
• Disney / Hulu
• Marriott
• IKEA
• UPS
• Chanel

Además, se atribuyen la reciente brecha de Jaguar Land Rover, que provocó pérdidas superiores a 196 millones de libras esterlinas (220 millones de dólares) y serias disrupciones operativas.

Nueva plataforma de ransomware: ShinySp1d3r

ShinyHunters y Scattered Spider están migrando hacia su propia plataforma de Ransomware as a Service (RaaS) llamada ShinySp1d3r, tras haber utilizado previamente:

• ALPHV / BlackCat
• RansomHub
• Qilin
• DragonForce

Su modelo actual se enfoca menos en cifrado tradicional y más en exfiltración y extorsión, utilizando plataformas como Telegram y sitios de filtración pública para presionar a sus víctimas.

Campaña contra más de 280 empresas

En recientes publicaciones en Telegram, los actores afirmaron haber comprometido información perteneciente a más de 280 empresas a través de instancias de Salesforce, citando entre las víctimas a:

• LinkedIn
• GitLab
• Atlassian
• Thomson Reuters
• Verizon
• F5
• SonicWall
• DocuSign
• Malwarebytes

Según los atacantes, el acceso fue facilitado a través de la brecha previa en Gainsight, vinculada indirectamente con el ataque a Salesloft.

El riesgo real: la amenaza interna en entornos altamente protegidos

El caso de CrowdStrike demuestra que ni siquiera las empresas más avanzadas en ciberseguridad están exentas de riesgos internos.

Las amenazas internas representan un gran desafío porque:

• Provienen de personas con acceso legítimo.
• Pueden ser motivadas por dinero, venganza o coacción.
• Aprovechan la confianza de la organización.

Este incidente refuerza la necesidad de:

• Implementar monitoreo de comportamiento (UEBA).
• Aplicar principios de Zero Trust.
• Fortalecer controles sobre accesos privilegiados.
• Limitar la captura de información sensible mediante dispositivos no autorizados.

Implicaciones para el ecosistema de ciberseguridad

Aunque CrowdStrike logró contener esta situación sin compromiso técnico directo, el evento refleja una realidad preocupante:

CitarLas brechas ya no solo ocurren por fallas técnicas, sino también por vulnerabilidades humanas y operativas

Las organizaciones deben reforzar sus políticas de:

• Control de información interna
• Prevención de fuga de datos (DLP)
• Formación en concienciación de seguridad
• Detección de comportamientos anómalos

En un entorno donde los atacantes combinan ingeniería social, recompensas económicas y explotación de confianza, el riesgo interno se convierte en un vector crítico a considerar.

En fin...

El incidente del insider en CrowdStrike, junto con el auge de los grupos Scattered Spider, ShinyHunters y Lapsus$, marca una nueva etapa en las amenazas modernas: menos técnicas complejas, pero más explotación humana.

En un panorama donde los ataques contra infraestructuras SaaS y corporaciones multinacionales son cada vez más recurrentes, el factor humano sigue siendo el punto más débil... incluso en las empresas que diseñan las mejores defensas.

Fuente: https://www.bleepingcomputer.com/