Во второй половине прошлого месяца компания CrowdStrike, один из ключевых игроков мирового рынка кибербезопасности, зафиксировала инсайдерскую утечку: сотрудник компании передал третьим лицам фотографии экрана с элементами внутренних систем. Инцидент привлек внимание, поскольку опубликованные материалы были использованы хакерской коалицией Scattered Lapsus$ Hunters для заявления о «компрометации» инфраструктуры CrowdStrike.
Что именно утекло: скриншоты внутренних панелей CrowdStrike
Скриншоты были опубликованы в Telegram-канале, аффилированном с Scattered Lapsus$ Hunters — объединением участников групп Scattered Spider, LAPSUS$ и ShinyHunters. На изображениях были видны панели управления и ссылки на внутренние ресурсы, включая панель Okta, применяемую для единого входа (SSO) сотрудников во внутренние приложения.
По данным CrowdStrike, утечка ограничилась именно визуальной информацией — снимками экрана рабочего стола инсайдера. Компания подчеркивает, что инфраструктура не была взломана, а системы и данные клиентов не подвергались технической компрометации. Тем не менее, факт публикации интерфейсов и внутренних ссылок повышает риск так называемой разведки (reconnaissance) со стороны злоумышленников и может использоваться для подготовки будущих атак.
Версия хакеров: оплата инсайдеру и попытка доступа через SSO-cookie
Журналисты Bleeping Computer сообщают, что один из участников ShinyHunters заявил о договоренности с инсайдером на сумму 25 000 долларов США за доступ к сети CrowdStrike. По словам хакера, сотрудник успел передать группе аутентификационные SSO-cookie — файловые маркеры сессии, которые позволяют обойти ввод логина и пароля и использовать уже активный сеанс пользователя.
Однако к моменту, когда злоумышленники попытались воспользоваться этими данными, CrowdStrike уже обнаружила подозрительную активность, заблокировала учетную запись сотрудника и инициировала внутреннее расследование. Компания заявляет, что любая попытка несанкционированного доступа была пресечена, а материалы дела переданы правоохранительным органам.
Gainsight, Salesforce и параллели с прошлым взломом Salesloft
Scattered Lapsus$ Hunters утверждали, что утечка в CrowdStrike якобы связана с недавним инцидентом в компании Gainsight, которая предоставляет решения по управлению взаимоотношениями с клиентами (Customer Success) и глубоко интегрирована с платформой Salesforce. Ранее Salesforce уже предупреждала о последствиях утечки данных, затронувшей публичные приложения Gainsight, подключенные к ее экосистеме.
Ситуация напоминает атаку на Salesloft в 2025 году, когда злоумышленники использовали украденные OAuth-токены для интеграции чат-бота Drift и получили доступ к конфиденциальным данным клиентов: паролям, AWS-ключам, токенам Snowflake. Однако в случае с CrowdStrike компания категорически опровергает связь между текущим инцидентом и утечкой в Gainsight, указывая на чисто инсайдерский характер произошедшего.
Эволюция Scattered Lapsus$ Hunters: от взломов к собственной RaaS-платформе
На фоне этого инцидента примечательно, что группировки ShinyHunters и Scattered Spider, входящие в Scattered Lapsus$ Hunters, в начале месяца объявили о переходе на собственную RaaS-платформу (Ransomware-as-a-Service) под названием ShinySp1d3r. Это означает отказ от использования сторонних шифровальщиков ALPHV/BlackCat, RansomHub, Qilin и DragonForce и стремление выстроить собственную «экосистему вымогателя как услуги».
Такая модель позволяет киберпреступникам масштабировать атаки, предоставляя шифровальщик и инфраструктуру партнерам-«аффилиатам» за долю от выкупа. В сочетании с активным поиском инсайдеров это делает подобные группировки особенно опасными для крупных поставщиков облачных и кибербезопасных сервисов.
Экспертный разбор: почему инсайдеры становятся ключевым звеном атак
Отчеты по кибербезопасности, включая ежегодные исследования вроде Verizon DBIR, показывают, что инсайдерский фактор фигурирует в значимой доле инцидентов — как умышленных, так и связанных с ошибками персонала. Ставка группировок уровня ShinyHunters на покупку доступа у сотрудников лишь подтверждает тренд: защищенные периметры и современные EDR/NGAV-решения подталкивают злоумышленников искать «самый слабый элемент» — человека.
Ключевые выводы для компаний включают необходимость: жесткого контроля доступа (принцип наименьших привилегий), мониторинга аномальной активности учетных записей, защиты SSO-сессий и cookie, внедрения Zero Trust-подхода и регулярного обучения персонала. Важную роль играет и проактивная работа с инсайдерским риском: проверка персонала, каналы анонимного сообщения о нарушениях, культурная и юридическая мотивация сотрудников не сотрудничать с преступниками.
Ситуация с CrowdStrike демонстрирует, что даже у ведущих компаний кибербезопасности нет иммунитета от инсайдерских угроз. Однако скорость обнаружения инцидента, блокировка учетной записи и отсутствие признаков технической компрометации указывают на зрелые процессы реагирования. Для организаций любого масштаба это сигнал пересмотреть свои стратегии: укрепить контроль над доступами, мониторинг сессий и управление доверенными интеграциями вроде OAuth и SSO, чтобы минимизировать шансы злоумышленников монетизировать человеческий фактор.
