IntelBroker hackea a un gigante de la ciberseguridad y pone a la venta los datos obtenidos

En el ciberespacio han aparecido informes sobre un grave incidente cibernético. Un hacker conocido por el seudónimo "IntelBroker" afirma haber logrado infiltrarse en los sistemas de una de las principales empresas mundiales de ciberseguridad con ingresos anuales de 1.800 millones de dólares.

IntelBroker publicó un anuncio en el conocido foro de ciberdelincuentes BreachForums, ofreciendo la venta de acceso a datos y sistemas sensibles de la empresa afectada por 20.000 dólares en la criptomoneda Monero (XMR). Sin embargo, el nombre de la empresa afectada no fue revelado por el hacker, aparentemente para evitar que tome medidas de protección antes de que se vendan los datos.

Captura de pantalla de una publicación del foro de hackers BreachForums

Entre la información robada, según se informa, se encuentran claves SSL, acceso al protocolo de transferencia de correo (SMTP), registros confidenciales que contienen credenciales y acceso a la autenticación Pointer Auth, que puede referirse a la autenticación ARM Pointer.

El hacker dijo que solo proporcionaría información adicional a los compradores potenciales en persona. Se utilizará un intermediario externo o un servicio de depósito en garantía para realizar la transacción. Además, IntelBroker exige que los compradores proporcionen pruebas de fondos y limita las ventas únicamente a miembros del foro de alta reputación.

Desde su aparición en la comunidad de hackers en octubre de 2022, IntelBroker ha estado involucrado en una serie de violaciones de datos de alto perfil, incluidas DC Health Link, General Electric, Hewlett Packard Enterprise, el Aeropuerto Internacional de Los Ángeles y el contratista estadounidense Acuity. Por lo tanto, el ciberdelincuente tiene una reputación positiva en los foros de hackers y sus afirmaciones son creíbles hasta cierto punto.

El incidente subraya la posible vulnerabilidad incluso en los sistemas de las principales empresas de ciberseguridad. Si se confirma la información sobre la infiltración, las consecuencias podrían ser significativas no solo para la propia empresa, sino también para sus clientes y para toda la industria de la ciberseguridad.

La empresa Zscaler, que aparentemente encaja con la descripción de IntelBroker, ya ha iniciado una investigación para determinar si sus sistemas se vieron afectados. Según la página de actualizaciones de seguridad de la empresa, los resultados preliminares mostraron que no se encontró ningún entorno aislado en ninguno de los servidores de la empresa que "no estuviera alojado en la infraestructura de Zscaler y no tuviera conexión con los entornos de Zscaler", pero, aun así, era accesible desde Internet. "El entorno de prueba se puso en modo fuera de línea para llevar a cabo un análisis experto".

A la mañana del 9 de mayo, la empresa asegura a sus clientes que no ha habido ningún impacto en sus entornos de clientes, producción y corporativos, pero Zscaler, como precaución, contrató a una organización externa de respuesta a incidentes que puso en marcha su propia investigación independiente.

Todavía no está claro si IntelBroker realmente se refería a Zscaler al anunciar la venta de acceso, o si es solo una coincidencia que la empresa haya encontrado un "entorno aislado accesible desde Internet". Es probable que más adelante escuchemos información de alto perfil relacionada con esta historia, y definitivamente la informaremos.