У другій половині минулого місяця один із співробітників CrowdStrike, одного з провідних гравців світового ринку кібербезпеки, став джерелом інсайдерської утечки. Він передав третім особам фотографії екрана з елементами внутрішніх систем компанії. Ці матеріали були використані коаліцією Scattered Lapsus$ Hunters для гучних заяв про нібито «компрометацію» інфраструктури CrowdStrike, що привернуло значну увагу професійної спільноти.
Що саме потрапило у відкритий доступ: панелі, посилання та Okta SSO
Скриншоти з’явилися в Telegram-каналі, пов’язаному зі Scattered Lapsus$ Hunters — об’єднанням учасників груп Scattered Spider, LAPSUS$ та ShinyHunters. На зображеннях було видно внутрішні панелі управління, навігаційні елементи та посилання на сервіси, зокрема панель Okta, яка використовується як рішення єдиного входу (SSO) для доступу співробітників до корпоративних застосунків.
За заявою CrowdStrike, витік обмежився саме візуальною інформацією — фотографіями робочого столу інсайдера. Компанія наголошує, що технічного зламу інфраструктури не було, а системи та дані клієнтів не зазнали компрометації. Водночас публікація інтерфейсів, назв застосунків і внутрішніх URL-адрес підвищує ризики «розвідки» (reconnaissance) та може бути використана як вихідна точка для майбутніх таргетованих атак.
Позиція хакерів: оплата інсайдеру та спроба входу через SSO-cookie
Як повідомляє BleepingComputer, представник ShinyHunters стверджує, що група домовилася з інсайдером про оплату у розмірі 25 000 доларів США за доступ до мережі CrowdStrike. За його словами, співробітник передав SSO-cookie — маркери сеансу, які зберігаються у браузері та дозволяють обійти повторне введення логіна і пароля, використовуючи вже активну автентифіковану сесію.
Однак на момент, коли зловмисники спробували використати ці дані, CrowdStrike уже виявила підозрілу активність, заблокувала обліковий запис співробітника та розпочала внутрішнє розслідування. Компанія заявляє, що всі спроби несанкціонованого доступу були припинені, а зібрані матеріали передані правоохоронним органам для подальших процесуальних дій.
Gainsight, Salesforce та порівняння з інцидентом Salesloft
Scattered Lapsus$ Hunters намагалися пов’язати інсайдерську утечку в CrowdStrike з недавнім інцидентом у компанії Gainsight, постачальника рішень для управління взаємовідносинами з клієнтами, тісно інтегрованого з платформою Salesforce. Раніше Salesforce вже попереджала про наслідки витоку, який зачепив публічні застосунки Gainsight у її екосистемі.
Ситуація додатково нагадала ринку атаку на Salesloft у 2025 році, коли зловмисники, викравши OAuth-токени інтеграції чат-бота Drift, отримали доступ до чутливих даних — паролів, ключів AWS, токенів Snowflake. У випадку CrowdStrike компанія категорично заперечує будь-який зв’язок з інцидентом Gainsight, підкреслюючи, що мова йде про окремий, суто інсайдерський епізод.
Scattered Lapsus$ Hunters і перехід до власної RaaS-платформи ShinySp1d3r
На фоні цього інциденту важливо, що угруповання ShinyHunters та Scattered Spider, які входять до Scattered Lapsus$ Hunters, на початку місяця оголосили про запуск власної платформи Ransomware-as-a-Service (RaaS) під назвою ShinySp1d3r. Фактично це означає відмову від сторонніх шифрувальників на кшталт ALPHV/BlackCat, RansomHub, Qilin та DragonForce і побудову власної кримінальної «екосистеми викупу як послуги».
Модель RaaS дозволяє кіберзлочинцям масштабувати діяльність, передаючи шифрувальник та інфраструктуру партнерам-аффіліатам в обмін на частку з виплаченого викупу. У поєднанні з активним пошуком інсайдерів та купівлею доступів це робить такі групи особливо небезпечними для великих провайдерів хмарних і кібербезпекових сервісів.
Чому інсайдери стають ключовою ланкою сучасних атак
Аналітичні звіти з кібербезпеки, включно з щорічним дослідженням Verizon Data Breach Investigations Report (DBIR), демонструють, що внутрішній фактор фігурує в помітній частці інцидентів. Йдеться як про навмисні дії співробітників, так і про помилки, зумовлені людським фактором. Посилення периметрового захисту, поширення EDR/NGAV-рішень та багатофакторної автентифікації підштовхує зловмисників атакувати «найслабшу ланку» — людину всередині організації.
Для компаній ключовими стають: жорсткий контроль доступів за принципом найменших привілеїв, постійний моніторинг аномальної активності облікових записів, захист SSO-сесій і cookie, впровадження Zero Trust-підходу та регулярне навчання персоналу. Не менш важливими є програми управління інсайдерським ризиком: попередні перевірки, надійні канали анонімного повідомлення про зловживання, а також зрозуміла юридична та етична мотивація співробітників не співпрацювати з кіберзлочинцями.
Інцидент із CrowdStrike ще раз показує, що навіть провідні гравці ринку не мають імунітету від інсайдерських загроз. Водночас швидке виявлення підозрілої активності, блокування облікового запису та відсутність ознак технічної компрометації свідчать про зрілість процесів реагування. Для організацій будь-якого масштабу це сигнал переглянути стратегії безпеки: посилити контроль доступів, моніторинг сесій, управління інтеграціями OAuth і SSO, а також системно працювати з людським фактором, щоб мінімізувати шанси того, що співробітник стане точкою входу для наступної масштабної атаки.
