CrowdStrike confirmó que un empleado interno compartió capturas de pantalla de sistemas corporativos con actores maliciosos, luego de que las imágenes fueran publicadas en Telegram por colectivos vinculados a ShinyHunters, Scattered Spider y Lapsus$. A pesar del incidente, la empresa aseguró que no hubo brecha interna ni exposición de datos de clientes.
¿Qué fue lo que pasó?
El incidente se destapó cuando grupos de extorsión publicaron capturas de sistemas internos de CrowdStrike. Tras una investigación interna, la compañía identificó y despidió al empleado responsable el mes pasado, y el caso ahora está en manos de agencias de aplicación de la ley.
CrowdStrike enfatizó que sus sistemas nunca fueron comprometidos y que los clientes permanecieron protegidos en todo momento.
¿Qué buscaban los atacantes?
Los grupos ShinyHunters, Scattered Spider y Lapsus$ —que ahora operan bajo el nombre colectivo Scattered Lapsus$ Hunters— aseguraron haber pagado $25,000 al insider para intentar obtener acceso a la red de CrowdStrike.
Según su versión, lograron recibir cookies de autenticación SSO del empleado, pero para ese momento la compañía ya había detectado actividad sospechosa y bloqueado completamente su acceso.
Además, los actores afirmaron haber intentado comprar reportes internos de CrowdStrike sobre ellos mismos, aunque nunca los recibieron.
¿Quiénes son los “Scattered Lapsus$ Hunters”?
Este colectivo es responsable de una amplia campaña de extorsión basada en filtraciones de Salesforce, afectando a decenas de empresas globales. Sus operaciones incluyen:
Ataques de vishing para comprometer cuentas corporativas.
Brechas a organizaciones como Google, Cisco, Allianz Life, Qantas, Adidas, Workday y marcas de LVMH.
Intentos de extorsión contra empresas como Toyota, Instacart, FedEx, Disney/Hulu, Marriott, Chanel e IKEA.
También asumieron responsabilidad en el incidente de Jaguar Land Rover, que provocó más de £196 millones en pérdidas operativas.
Cambio en su modelo de ataque: ShinySp1d3r
Los grupos ShinyHunters y Scattered Spider están moviéndose hacia un nuevo modelo ransomware-as-a-service llamado ShinySp1d3r, dejando atrás el uso de encriptadores de otras bandas como BlackCat, RansomHub y DragonForce.
Esta transición coincide con nuevas oleadas de ataques. Tan solo esta semana, ShinyHunters afirmó haber robado datos de más de 280 instancias de Salesforce, afectando a organizaciones como LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, SonicWall, DocuSign y Malwarebytes.
Conclusión
El caso evidencia que, incluso en empresas líderes en ciberseguridad, los insiders siguen representando un riesgo real. Aunque CrowdStrike actuó rápido y evitó una intrusión mayor, la actividad de los Scattered Lapsus$ Hunters demuestra que los actores de extorsión continúan evolucionando, ampliando su alcance y diversificando herramientas como ShinySp1d3r.
La vigilancia interna, el monitoreo de accesos y la detección temprana de anomalías siguen siendo esenciales para reducir riesgos en cualquier organización.
