Unglaubliche Wendung in der Cybersicherheit: Hacker gehackt – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

Unglaubliche Wendung in der Cybersicherheit Hacker gehackt

Die Folgen des Cyberangriffs auf die Market-Intelligence-Plattform Klue weiten sich aus. Während fast zwei Dutzend Unternehmen bestätigen, dass ihre Daten kompromittiert wurden, entfaltet sich ein neues Drama: Berichten zufolge wurden die Hacker selbst gehackt. Die Gruppe Icarus, die sich zu dem Angriff bekannt hatte, verlor angeblich die gestohlenen Daten an eine andere Cyberkriminellen-Gruppe.

Ein Schloss-Symbol und komplexer Code auf einem Computerbildschirm, die einen Cybersicherheitsvorfall darstellen.

Was ist passiert

Die Welt der Cybersicherheit erlebt in diesen Tagen eine seltene Kette von Ereignissen. Klue, eine Plattform für Market Intelligence und Wettbewerbsanalyse, wurde Anfang dieses Monats Opfer eines schweren Cyberangriffs. Dieser Vorfall wurde als Supply-Chain-Angriff eingestuft, der nicht nur Klue, sondern auch zahlreiche Kunden, die deren Dienste nutzen, betraf. Nach der Entdeckung des Angriffs haben rund zwei Dutzend Klue-Kunden öffentlich bekannt gegeben und bestätigt, dass ihre Salesforce-Instanzen infolgedessen kompromittiert wurden.

Nach dem Angriff bekannte sich ein Bedrohungsakteur namens "Icarus" zu dem Angriff. Die Gruppe startete eine Erpressungskampagne gegen Klue und seine Kunden und drohte damit, die gestohlenen Daten zu veröffentlichen. Zu diesem Zweck richtete Icarus eine Leak-Website im Tor-Netzwerk ein und kündigte an, die Daten preiszugeben, falls ihre Forderungen не erfüllt würden. Die Geschichte endete hier jedoch nicht und nahm eine weitaus komplexere Wendung.

Es gibt starke Anzeichen dafür, dass Klue mit den Angreifern verhandelt hat. Als wahrscheinliches Ergebnis dieser Gespräche ist die Leak-Website der Icarus-Gruppe seit einigen Tagen nicht mehr erreichbar. Eine solche Situation wird oft in Szenarien beobachtet, in denen ein Lösegeld gezahlt oder eine Einigung erzielt wurde. Genau in diesem Moment kam es zu einer Entwicklung, die bei Cybersicherheitsvorfällen selten zu sehen ist. In einer privaten Benachrichtigung an seine Kunden teilte Klue mit, dass die Icarus-Gruppe selbst gehackt worden sei. Diese unglaubliche Entwicklung bedeutete, dass die von Klue gestohlenen Daten nun in den Händen einer zweiten Cyberkriminellen-Gruppe waren. Diese zweite Gruppe hat ihre eigene Erpressungskampagne mit den von Icarus erbeuteten Daten gestartet.

Welche Daten wurden kompromittiert

Die Art der bei dem Angriff kompromittierten Daten bereitet den betroffenen Unternehmen große Sorge. Die von der ursprünglichen Angreifergruppe Icarus gestohlenen Informationen sollen hauptsächlich aus Geschäftskontakten und Support-Daten bestehen. Diese Art von Daten umfasst in der Regel Kundennamen, E-Mail-Adressen, Unternehmensinformationen, Kommunikationsverläufe und Details zu Support-Anfragen. Gelangen solche Informationen in die Hände von böswilligen Akteuren, birgt dies ernsthafte Risiken wie gezielte Phishing-Angriffe, Identitätsdiebstahl und Unternehmensspionage.

Die Situation ist bei dem zweiten Diebstahl, der den Vorfall weiter verkompliziert, etwas anders. Laut den Behauptungen von Klue hat die zweite kriminelle Organisation, die die Icarus-Gruppe gehackt hat, nicht alle gestohlenen Daten, sondern nur einen Teil davon erbeutet. Diese Daten werden als "Beispieldaten" beschrieben. Es ist jedoch noch nicht klar, wie umfassend diese "Beispieldaten" sind oder die Informationen welcher Unternehmen sie enthalten. Bislang hat keine bekannte Erpressergruppe außer Icarus öffentlich behauptet, im Besitz von Daten aus dem Klue-Vorfall zu sein. Diese Unsicherheit erhöht den Druck auf die von der Datenpanne betroffenen Unternehmen und Kunden.

Wie geschah der Angriff

Nach den vorliegenden Informationen wurde der Angriff als gut geplante Supply-Chain-Operation durchgeführt. Den Angreifern gelang es zunächst, in die Klue-Plattform einzudringen. Dazu verwendeten sie kompromittierte Legacy-Anmeldeinformationen, die vermutlich dem Unternehmen gehörten und im Laufe der Zeit ungeschützt geworden waren. Es ist noch nicht bekannt, wie diese Anmeldeinformationen erlangt wurden, aber diese Methode zeigt, dass die Cyberangreifer ein häufiges schwaches Glied ins Visier nahmen.

Nachdem sie Zugang zu den Systemen von Klue erlangt hatten, gingen die Hacker zur nächsten Phase über, um an ihr Hauptziel zu gelangen: Kundendaten. In dieser Phase erlangten sie die OAuth-Token, die die Integration von Klue mit Plattformen wie Salesforce für seine Kunden ermöglichen. OAuth ist ein Autorisierungsstandard, der es einer Anwendung (Klue) ermöglicht, sicher auf Daten in einer anderen Anwendung (Salesforce) zuzugreifen, ohne das Passwort des Benutzers zu kennen. Indem sie diese Token stahlen, gaben sich die Angreifer als Klue-Anwendung aus, griffen massenhaft auf Kundendaten zu und exfiltrierten sie auf ihre eigenen Systeme. Es wurde festgestellt, dass der Angriff mit dieser Methode zwischen dem 11. und 12. Juni durchgeführt wurde.

Wer ist betroffen

Die Auswirkungen des Angriffs scheinen recht weitreichend zu sein. Bis heute haben rund zwei Dutzend Klue-Kunden offiziell bestätigt, dass ihre Salesforce-Konten aufgrund dieses Supply-Chain-Angriffs kompromittiert wurden. Zu diesen Unternehmen gehören prominente Namen aus den Bereichen Technologie, Sicherheit und Finanzen. Einige der öffentlich identifizierten betroffenen Unternehmen sind: AlertMedia, Blackbaud, Camunda, Cresta, Deel, Lucanet, Link11 und Tines.

Es wird jedoch befürchtet, dass diese Liste nur die Spitze des Eisbergs sein könnte. Klue hat bekanntermaßen Hunderte von Kunden, und es wird geschätzt, dass der wahre Explosionsradius des Angriffs viel größer sein könnte. In einer Benachrichtigung, die Klue angeblich an seine Kunden geschickt hat, hieß es, dass insgesamt 195 Kunden von dem Vorfall betroffen seien. Obwohl diese Zahl noch nicht offiziell bestätigt wurde, gibt sie einen wichtigen Hinweis auf das Ausmaß der Sicherheitsverletzung.

Andererseits ist es erwähnenswert, dass nicht alle Klue-Kunden betroffen waren. Einige Kunden, wie zum Beispiel das führende Softwareunternehmen Autodesk, waren von diesem speziellen Angriff nicht betroffen, da sie die Klue-Plattform ohne die Salesforce-Integration nutzen. Dies deutet darauf hin, dass der Angriff gezielt auf Kunden abzielte, bei denen die Salesforce-Integration aktiviert war.

Was können Sie tun

Nach dem Vorfall wurden sowohl von Klue als auch von den betroffenen Drittanbieter-Plattformen eine Reihe von Maßnahmen ergriffen. Um die weitere Ausbreitung der Datenpanne zu verhindern, deaktivierte Salesforce die Klue-Integration am 17. Juni. Auf der Statusseite von Salesforce ist zu sehen, dass diese Integration noch nicht wieder aktiviert wurde. Als ähnliche Vorsichtsmaßnahme hat auch eine weitere beliebte Plattform, Gong, ihre Integration mit Klue ausgesetzt.

Bisher wurde keine offizielle und detaillierte Anleitung zu den spezifischen Schritten veröffentlicht, die Organisationen und Einzelpersonen, die Kunden von Klue oder anderen betroffenen Unternehmen sind, unternehmen sollten. An diesem Punkt ist es für die Kunden der genannten Unternehmen von entscheidender Bedeutung, offizielle Ankündigungen und E-Mail-Benachrichtigungen, die direkt von diesen Unternehmen kommen, sorgfältig zu verfolgen. Es wird besonders empfohlen, wachsam gegenüber potenziellen Phishing-Angriffen zu sein, die in der kommenden Zeit zunehmen könnten, da Geschäftskontakte und Support-Daten kompromittiert wurden.

Was sagt das Unternehmen

Klue bestätigte die Datenpanne am Montag öffentlich und erklärte, eine Untersuchung eingeleitet zu haben. Das Unternehmen hat jedoch noch keine detaillierten öffentlichen Updates zu den Ergebnissen seiner Untersuchung veröffentlicht. Hinter den Kulissen scheint das Unternehmen jedoch aktiver zu sein.

Laut einem Bericht von TechCrunch teilte Klue seinen Kunden in privaten Benachrichtigungen mit, dass es die Icarus-Gruppe, die sich zu dem Angriff bekannt hatte, kontaktiert habe und dass die Gruppe mit der Löschung der gestohlenen Daten begonnen habe. Diese Entwicklung verstärkt die Spekulationen, dass Klue möglicherweise ein Lösegeld gezahlt hat, um die Veröffentlichung der Daten zu verhindern.

In derselben Benachrichtigung teilte Klue auch die überraschende Information mit, dass die Icarus-Gruppe selbst gehackt worden sei und die Daten sich nun in den Händen einer anderen Gruppe befänden. Das Unternehmen erklärte, dass es die Entwicklungen an dieser Front genau beobachte. Die Nachrichtenquelle SecurityWeek berichtete, dass sie sich an Klue gewandt hat, um weitere Informationen zu erhalten, aber noch keine Antwort erhalten hat.

Quelle

https://www.securityweek.com/more-klue-breach-victims-identified-as-hackers-get-hacked/

Dieser Inhalt wurde mithilfe künstlicher Intelligenz über unsere Argus Flow-Anwendung erstellt. Wir arbeiten kontinuierlich an der Verbesserung von Argus Flow; sollten Sie auf Übersetzungsfehler, falsche Quellen oder unbestätigte Informationen stoßen, können Sie uns dies über die Schaltfläche unten melden. Wir danken Ihnen für Ihr Feedback.

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag CMC Bericht zum Canvas Vorfall leitet Bildungssektor an

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.