Un grupo de hacktivistas afirmó haber filtrado la lista completa de actores de amenazas internas de CrowdStrike, incluidos los indicadores de compromiso (IoC). CrowdStrike reconoció las afirmaciones del actor de amenazas del USDoD en una publicación de blog el 25 de julio de 2024. La empresa señaló que el USDoD proporcionó un enlace para descargar la supuesta lista de actores de amenazas y proporcionó una muestra de campos de datos en el notorio foro de delitos cibernéticos BreachForums. Las afirmaciones se producen a raíz de la interrupción global de TI del 19 de julio causada por un error en una actualización de contenido para la plataforma CrowdStrike Falcon. El error impidió que los sistemas afectados se iniciaran correctamente, lo que interrumpió sectores críticos como aerolíneas, bancos, medios de comunicación y atención médica. Afirmaciones de datos de inteligencia de amenazas CrowdStrike dijo que los datos de muestra publicados por el USDoD contenían inteligencia interna detallada sobre los actores de amenazas. Esto incluía: Alias ​​del adversario Estado del adversario Últimas fechas de actividad para cada adversario Región/país de origen del adversario Número de industrias objetivo Número de países objetivo Tipo y motivación del actor de amenazas La empresa observó que el campo de alias del adversario contenía los mismos alias que la plataforma Falcon, pero enumerados en un orden diferente. CrowdStrike dijo que los datos de inteligencia de amenazas están disponibles para decenas de miles de sus clientes, socios y prospectos aprobados, así como para cientos de miles de usuarios, pero no están disponibles públicamente. La fuga de muestra contenía datos con fechas de «Última actividad» hasta no más tarde de junio de 2024, sin embargo, las últimas fechas de actividad del portal Falcon para algunos de los actores referenciados son tan recientes como julio de 2024, lo que sugiere que los datos se obtuvieron muy recientemente. El USDoD también alegó que había obtenido la lista completa de IOC de CrowdStrike y que la publicaría pronto. Los IOC son utilizados por profesionales de la ciberseguridad para determinar los métodos de un pirata informático en un ataque. Además, CrowdStrike señaló que el grupo hacktivista afirmó en su publicación tener «dos grandes bases de datos de una compañía petrolera y una industria farmacéutica (no de EE. UU.)». No está claro si esta afirmación es independiente de la supuesta filtración de datos de CrowdStrike. Los investigadores de seguridad vx-underground destacaron la publicación de BreachForums de USDoD en X (anteriormente Twitter). Dijeron que habían hablado con USDoD, quien les dijo que abusaron programáticamente de los puntos finales de CrowdStrike para extraer IOC de la empresa, y que la operación de raspado tomó alrededor de un mes. «El momento en que se completó la operación de raspado coincidió por casualidad con el reciente escándalo de CrowdStrike; parece que tienen mala suerte», dijo vx-underground. Con respecto a la reciente filtración llamada ‘CrowdStrike’ que se publicó en BreachForum: esto no es una filtración de datos. El individuo responsable de la información … divulgación, … filtración (?), que opera bajo el apodo de USDoD, declara abiertamente que los datos son raspados. No estoy seguro de por qué es… pic.twitter.com/zL0JXmY6e0— vx-underground (@vxunderground) 25 de julio de 2024 En una declaración enviada a Infosecurity, CrowdStrike enfatizó que si las afirmaciones de los atacantes son correctas, no constituye una violación. «No hay ninguna violación de CrowdStrike. Estos datos de inteligencia de amenazas están disponibles para decenas de miles de clientes, socios y prospectos», afirmó la firma. Explicación del grupo hacktivista USDoD CrowdStrike dijo que USDoD ha operado desde al menos 2020, llevando a cabo tanto hacktivismo como violaciones con motivaciones financieras. En los últimos dos años, el grupo se ha centrado en campañas de intrusión dirigidas de alto perfil. Desde enero de 2024, el actor de amenazas ha buscado diversificar y expandir sus actividades cibernéticas desde la realización exclusiva de operaciones cibernéticas hasta la administración de foros de delitos electrónicos. En septiembre de 2023, USDoD afirmó haber robado datos personales de la agencia de crédito TransUnion, y en el mismo mes afirmó haber sufrido una violación de datos en Airbus. Utiliza principalmente tácticas de ingeniería social para acceder a datos confidenciales. Lea ahora: Los actores de amenazas utilizan el hacktivismo como arma para obtener ganancias financieras CrowdStrike señaló que el USDoD ha exagerado anteriormente las afirmaciones, probablemente en un intento de mejorar su reputación dentro de las comunidades de hacktivistas y de delitos electrónicos.