Weitere Betroffene nach Klue-Vorfall bekannt – Erpresser laut Bericht selbst kompromittiert

Zusammenfassung

Nach dem Angriff auf die Marktintelligenzplattform Klue haben inzwischen rund zwei Dutzend Kunden bestätigt, dass ihre Salesforce-Instanzen von dem Lieferkettenvorfall betroffen waren. Laut SecurityWeek lief die Attacke zwischen dem 11. und 12. Juni ab: Angreifer nutzten kompromittierte Alt-Zugangsdaten, verschafften sich Zugriff auf Klue, erbeuteten OAuth-Tokens für die Klue-Integrationen der Kunden und exfiltrierten Daten in großem Umfang. Salesforce deaktivierte die Klue-Integration am 17. Juni und hat sie laut Statusseite bislang nicht wieder freigeschaltet; auch Gong schaltete die Integration ab. Klue selbst bestätigte den Vorfall am Montag und erklärte, die Untersuchung laufe. Öffentlich hat das Unternehmen seither keine weiteren Ergebnisse mitgeteilt. Brisant ist zudem ein weiterer Aspekt, über den TechCrunch berichtet: Klue soll Kunden mitgeteilt haben, dass die hinter dem Angriff stehende Gruppe Icarus inzwischen selbst kompromittiert wurde und die entwendeten Daten nun bei einem weiteren Bedrohungsakteur liegen, der eine eigene Erpressungskampagne betreibt.

Zu den betroffenen Organisationen zählen laut SecurityWeek unter anderem AlertMedia, Blackbaud, Camunda, Cresta, Deel, Lucanet, Link11 und Tines. Klue hat Hunderte Kunden, weshalb der Kreis der Betroffenen größer sein könnte. Weitere Benachrichtigungen zu dem Vorfall lagen SecurityWeek zum Zeitpunkt des Berichts jedoch nicht vor.

Nicht jeder Klue-Kunde ist automatisch betroffen. SecurityWeek verweist etwa auf Autodesk als Beispiel für einen Kunden, der die Salesforce-Integration mit Klue möglicherweise nicht nutzt und daher nicht von dem Vorfall erfasst wurde.

Die Verantwortung für den Angriff reklamierte ein Bedrohungsakteur namens Icarus für sich. Die Gruppe setzte Klue und mehrere Kunden auf eine Tor-basierte Leak-Seite und drohte damit, die gestohlenen Informationen zu veröffentlichen, falls kein Lösegeld gezahlt werde. Bei den entwendeten Daten handelt es sich den Angaben zufolge vor allem um geschäftliche Kontaktdaten und Support-Daten.

Klue bestätigte die Datenschutzverletzung am Montag und teilte mit, den Vorfall zu untersuchen. Öffentliche Updates zu den Ergebnissen gibt es bislang nicht. Nach einem Bericht von TechCrunch informierte das Unternehmen seine Kunden jedoch vertraulich darüber, dass es Kontakt mit dem Bedrohungsakteur aufgenommen habe und dieser begonnen habe, die gestohlenen Daten zu löschen.

Die Leak-Seite von Icarus war seit einigen Tagen nicht erreichbar. Laut SecurityWeek dürfte das wahrscheinlich mit den Verhandlungen mit Klue zusammenhängen. Das deute darauf hin, dass das Unternehmen möglicherweise gezahlt habe. Eine Bestätigung dafür enthält der Bericht jedoch nicht.

Zusätzlich soll Klue seinen Kunden laut TechCrunch mitgeteilt haben, dass Icarus selbst gehackt worden sei. Die zuvor entwendeten Daten seien nun im Besitz eines anderen Bedrohungsakteurs, der eine eigene Erpressungskampagne betreibe. Der Vorfall betreffe angeblich 195 Klue-Kunden, wobei die zweite Gruppe Icarus dem Bericht zufolge nur Beispieldaten abgenommen haben soll.

Öffentlich hat bislang keine andere bekannte Erpressergruppe außer Icarus den Besitz von Daten aus dem Klue-Vorfall für sich reklamiert. SecurityWeek teilte mit, Klue um eine Stellungnahme gebeten zu haben und den Bericht zu aktualisieren, falls das Unternehmen antworte.

Weitere Betroffene nach Klue-Vorfall bekannt – Erpresser laut Bericht selbst kompromittiert

Ähnliche Artikel

Neueste Artikel