CrowdStrike demite suspeito de vender acesso interno para hackers

Empresa confirma incidente de segurança após investigação; coletivo Scattered Lapsus$ Hunters não conseguiu invadir sistemas.

Nilton Cesar Monastier Kleina

schedule24/11/2025, às 10:30

updateAtualizado em 24/11/2025, às 13:44

A empresa de cibersegurança CrowdStrike confirmou que demitiu um funcionário acusado de roubo e venda de informações da companhia para cibercriminosos. O caso aconteceu ao longo do mês de outubro deste ano.

O comportamento suspeito do colaborador foi encontrado após a confirmação de que ele tirou capturas de tela de sistemas internos, que foram compartilhadas posteriormente no Telegram pelo coletivo hacker Scattered Lapsus$ Hunters.

smart_display

Nossos vídeos em destaque

Os conteúdos em questão envolveriam painéis de controle corporativo, com a entrega adicional de cookies de identificação SSO (Single Sign-On) pela pessoa infiltrada para permitir o acesso remoto a sistemas e configurações corporativas pelos criminosos.

O que dizem os envolvidos

Ainda não há informações concretas sobre a tentativa de ataque, nem se ele teria ligação com invasões massivas recentes realizadas pelo coletivo. Em outubro deste ano, uma plataforma ligada à empresa Salesforce teve dados roubados envolvendo uma série de clientes.

Perguntas Frequentes

O que motivou a demissão do funcionário da CrowdStrike?

O funcionário foi demitido após uma investigação interna identificar que ele tirou capturas de tela de sistemas internos da empresa e compartilhou essas imagens externamente. As evidências indicam que ele vendeu essas informações para cibercriminosos, incluindo cookies de SSO (Single Sign-On), que poderiam permitir acesso remoto a sistemas corporativos.

Os sistemas da CrowdStrike foram invadidos?

Não. Segundo a própria CrowdStrike, os sistemas da empresa não foram comprometidos. A empresa afirma que detectou o comportamento suspeito a tempo e encerrou o acesso do funcionário antes que qualquer invasão ocorresse, mantendo a segurança dos consumidores.

Quem são os Scattered Lapsus$ Hunters e qual seu envolvimento no caso?

Scattered Lapsus$ Hunters é um coletivo hacker que compartilhou no Telegram as capturas de tela obtidas do sistema interno da CrowdStrike. Apesar disso, eles não conseguiram invadir os sistemas da empresa. O grupo é parte de uma aliança com outras gangues cibercriminosas como ShinyHunters, Scattered Spider e LAPSUS$.

O que são cookies de SSO e por que são importantes nesse contexto?

Cookies de SSO (Single Sign-On) são arquivos que armazenam informações de autenticação de um usuário, permitindo acesso a múltiplos sistemas com um único login. No caso da CrowdStrike, esses cookies foram entregues pelo funcionário aos hackers, o que poderia permitir acesso remoto não autorizado aos sistemas corporativos.

Qual foi o papel do grupo ShinyHunters no incidente?

O grupo ShinyHunters teria oferecido US$ 25 mil (cerca de R$ 134,5 mil) ao funcionário da CrowdStrike pelos conteúdos roubados. Eles confirmaram que a empresa detectou o suspeito e bloqueou o acesso antes que uma invasão fosse realizada.

Há relação entre esse caso e outros ataques recentes?

Ainda não há confirmação oficial, mas o incidente pode estar relacionado a uma brecha de segurança na Gainsight, plataforma que trabalha com a Salesforce e teve dados roubados em outubro. A conexão entre os casos é especulativa, já que ambos envolvem o mesmo coletivo hacker.

O que é ransomware-as-a-service e como ele se relaciona com esses grupos?

Ransomware-as-a-service é um modelo em que grupos cibercriminosos desenvolvem e vendem kits de ransomware para que outros realizem ataques. As gangues envolvidas no caso da CrowdStrike, como LAPSUS$ e ShinyHunters, têm adotado essa prática recentemente.