Klue advierte sobre hackers que eliminan datos robados y nuevas amenazas

Klue, una empresa de investigación de mercado, informó a sus clientes que el grupo de hackers que robó sus datos está en proceso de eliminarlos. En un comunicado privado, la compañía mencionó que continúa en contacto con los atacantes, conocidos como Icarus, quienes han afirmado que están tomando medidas para borrar la información robada.

"Estamos en comunicación con el actor de amenazas con el que hemos estado en contacto (Icarus)", indicó Klue en su actualización. "Icarus nos dijo que están tomando medidas para eliminar los datos robados de los clientes de Klue. El sitio de Icarus sigue caído y tenemos indicios de que efectivamente están borrando la información".

El lunes, Klue confirmó que los hackers ingresaron a sus sistemas el 12 de junio y sustrajeron una cantidad no especificada de datos de un número indeterminado de clientes. Desde entonces, varias empresas asociadas han confirmado que fueron afectadas, incluyendo a Gong, Jamf, HackerOne, Huntress, Insurity, LastPass, OneTrust, Recorded Future, ReliaQuest, Snyk, Sprout Social y Tanium.

En ese momento, el grupo de hackers Icarus estaba amenazando a Klue con liberar los datos robados en un intento de extorsionar a la compañía.

Hasta la mañana del jueves, el sitio web de Icarus parecía estar fuera de servicio, lo cual también fue confirmado por Klue a sus clientes.

Sin embargo, la situación se complicó en los últimos días, ya que Klue informó que Icarus advirtió sobre otro grupo de hackers que intenta extorsionar directamente a sus clientes. Este grupo no identificado publicó en su sitio web una lista de empresas que supuestamente han sido afectadas, afirmando que han robado los datos de Klue directamente de Icarus. Además, los atacantes afirmaron que Klue pagó a un "operador de Icarus que es un adolescente que vive en el Reino Unido o países cercanos". Klue no ha proporcionado verificación independiente sobre este pago.

De acuerdo con los hackers, este individuo cometió un error que les permitió conectarse al servidor donde se almacenaban los datos robados de los clientes de Klue.

"Paga el rescate o filtraremos todo si no nos pagas", escribieron los cibercriminales en un mensaje en su sitio, donde afirmaron que hay 195 clientes de Klue afectados.

En su actualización del jueves, Klue advirtió a sus clientes: "Icarus nos dijo que la otra parte solo tiene muestras de datos de un subconjunto de clientes, no todos los datos. Icarus nos ha pedido que informemos a los clientes de Klue que no deben realizar pagos a esta otra parte".

Klue sugirió a sus clientes que están en contacto con este segundo grupo de hackers que soliciten una muestra aleatoria de datos como prueba de que realmente poseen la información que dicen tener.

La empresa también había mencionado que los hackers accedieron a los datos de sus clientes utilizando credenciales de un tercero de 2022 que formaba parte de un piloto limitado. Los atacantes usaron su acceso a los sistemas de Klue para robar las claves de autenticación de los clientes, conocidas como tokens de OAuth, y acceder a sus nubes y bases de datos. Klue no ha proporcionado más detalles sobre esta credencial robada.

Temas