El proveedor de investigación de mercado Klue, hackeado el pasado 12 de junio, ha comunicado a sus clientes que el grupo de ciberdelincuentes conocido como Icarus está tomando medidas para eliminar los datos sustraídos, según una actualización interna a la que ha tenido acceso TechCrunch. Klue mantiene un canal de comunicación abierto con Icarus y afirma disponer de indicios de que el sitio web del grupo permanece caído y de que los archivos robados se están borrando.
El ataque expuso datos de un número indeterminado de clientes de Klue, entre los que se encuentran firmas de ciberseguridad y tecnología como Gong, Jamf, HackerOne, Huntress, Insurity, LastPass, OneTrust, Recorded Future, ReliaQuest, Snyk, Sprout Social y Tanium. Icarus había amenazado inicialmente con publicar la información si Klue no pagaba un rescate.
La situación se ha complicado en los últimos días. Klue afirma que Icarus les ha informado de la existencia de un segundo grupo de hackers que está intentando extorsionar directamente a los clientes afectados. Este segundo grupo, sin nombre conocido, asegura en su propio sitio web haber sustraído los datos de Klue directamente a Icarus y publica una lista de 195 compañías supuestamente afectadas. TechCrunch no ha podido verificar de forma independiente las afirmaciones de ninguno de los dos grupos.
Klue ha pedido a los clientes que se comuniquen con el segundo grupo que soliciten muestras aleatorias de datos como prueba antes de realizar cualquier pago, y ha detallado que la intrusión inicial se produjo mediante una credencial de terceros de 2022, utilizada en un programa piloto limitado, que permitió a los atacantes robar tokens OAuth y acceder a las nubes y bases de datos de los clientes.
