A CrowdStrike confirmou a demissão de um funcionário acusado de roubar e vender informações internas para cibercriminosos ao longo de outubro. A investigação interna apontou que o colaborador fez capturas de tela de sistemas corporativos e as repassou ao grupo Scattered Lapsus$ Hunters, que publicou o material no Telegram. Entre os conteúdos vazados estariam painéis de controle corporativos e cookies de SSO, que poderiam permitir acesso remoto a configurações internas por parte dos hackers.
Ainda não há confirmação de que o incidente esteja ligado às invasões recentes atribuídas a coletivos como ShinyHunters ou LAPSUS$. No mesmo período, uma plataforma associada à Salesforce sofreu um roubo de dados, e há suspeitas de que o caso possa ter relação com uma brecha na Gainsight, empresa parceira também afetada por ataques.
A CrowdStrike afirmou, em comunicado ao BleepingComputer, que seus sistemas não foram comprometidos e que clientes permanecem protegidos. A empresa diz ter identificado rapidamente o comportamento suspeito e encerrado o vínculo com o funcionário, acionando autoridades policiais e jurídicas. O próprio grupo ShinyHunters afirmou ter oferecido US$ 25 mil ao ex-colaborador, mas que a detecção precoce impediu um ataque maior.
A suposta aliança entre ShinyHunters, Scattered Spider e LAPSUS$, que havia anunciado o fim das atividades, voltou a operar e tem priorizado ataques com ransomware e a venda de kits de intrusão no modelo ransomware-as-a-service.
