CrowdStrike Despede Insider que Vendeu Dados a Hackers

A gigante de cibersegurança CrowdStrike confirmou nesta semana um dos incidentes mais preocupantes para a indústria de segurança digital: o despedimento de um funcionário que vendeu screenshots internos ao notório grupo hacker Scattered Lapsus$ Hunters por aproximadamente €23.000 ($25.000). Este caso expõe uma vulnerabilidade crítica que nem mesmo as empresas líderes em cibersegurança estão imunes: as ameaças internas.

Neste artigo do blog Dolutech, vamos mergulhar nos detalhes deste incidente alarmante, analisar as táticas utilizadas pelos cibercriminosos e fornecer estratégias práticas para que organizações portuguesas possam proteger-se contra este tipo de ameaça crescente.

O Incidente: Cronologia e Detalhes

Linha do Tempo do Ataque

O incidente veio a público entre 21 e 22 de novembro de 2025, quando o grupo hacker Scattered Lapsus$ Hunters publicou screenshots internos da CrowdStrike num canal público do Telegram. No entanto, o despedimento do funcionário corrupto havia ocorrido já em outubro de 2025, após uma investigação interna da empresa.

A revelação pública aconteceu mais de um mês após a CrowdStrike ter identificado e neutralizado a ameaça, demonstrando que a empresa agiu rapidamente assim que detectou a atividade suspeita do insider.

O Que Foi Comprometido

As informações vazadas incluíam:

• Screenshots de dashboards internos da plataforma CrowdStrike
• Painel Okta Single Sign-On (SSO) utilizado por funcionários para acesso a aplicações corporativas
• Links para recursos internos da empresa
• Estrutura organizacional de ferramentas e sistemas internos

Importante destacar que, segundo a CrowdStrike, tratava-se apenas de “fotografias da tela do computador” partilhadas externamente, e não de um compromisso direto dos sistemas da empresa.

Alegações vs. Realidade: O Que Realmente Aconteceu

A Versão dos Hackers

O grupo Scattered Lapsus$ Hunters alegou publicamente ter comprometido a CrowdStrike através de uma brecha na Gainsight, uma plataforma de gestão de relacionamento com clientes utilizada por clientes Salesforce. Os hackers afirmaram ter:

• Obtido acesso através da campanha contra Gainsight
• Recebido authentication cookies do sistema SSO
• Conseguido penetrar nos sistemas internos da CrowdStrike

A Resposta Oficial da CrowdStrike

A CrowdStrike foi categórica ao desmentir as alegações dos hackers. Kevin Benacci, porta-voz da empresa, declarou:

“Identificámos e despedimos um insider suspeito no mês passado após uma investigação interna que determinou que ele compartilhou fotos da tela do seu computador externamente. Nossos sistemas nunca foram comprometidos e os clientes permaneceram protegidos durante todo o tempo. Entregámos o caso às agências policiais relevantes.”

A empresa confirmou que:

• O funcionário vendeu screenshots por $25.000 ($25,000 USD / aproximadamente €23.000)
• Não houve compromisso de sistemas ou dados de clientes
• O caso foi imediatamente reportado às autoridades competentes
• As capacidades de proteção da CrowdStrike mantiveram-se intactas durante todo o incidente

Scattered Lapsus$ Hunters: A Supergrupo do Cibercrime

Quem São Estes Atacantes

O Scattered Lapsus$ Hunters representa uma evolução preocupante no panorama de ameaças: trata-se de uma coligação de hackers provenientes de três grupos notórios:

1. ShinyHunters – Ativos desde 2020, especializados em violações massivas de bases de dados e roubo de informações em infraestruturas cloud
2. Scattered Spider – Especialistas em engenharia social, impersonificação de helpdesk e ataques de vishing (phishing por voz)
3. Lapsus$ – Conhecidos pelo recrutamento de insiders, roubo de código-fonte e violações de alto perfil em empresas tecnológicas

Táticas e Técnicas de Operação

A Dolutech identificou que este grupo utiliza uma combinação sofisticada de técnicas:

Engenharia Social Avançada

• SIM swapping para comprometer números de telefone
• Impersonificação de helpdesk para enganar funcionários
• MFA fatigue attacks (fadiga de autenticação multifator) – bombardeamento de notificações até a vítima aprovar o acesso
• Vishing – chamadas telefónicas fraudulentas convincentes

Recrutamento Ativo de Insiders

Esta é talvez a tática mais preocupante: o grupo recruta ativamente funcionários de empresas-alvo através de:

• Canais da dark web com ofertas financeiras
• Mensagens diretas no Telegram
• Ofertas de pagamento substanciais (como os €23.000 pagos ao insider da CrowdStrike)
• Promessas de “nunca mais precisar trabalhar”

Vítimas Conhecidas da Campanha

Em outubro de 2025, o Scattered Lapsus$ Hunters alegou ter roubado mais de 1 bilião de registos de gigantes corporativos que dependem do Salesforce. Entre as vítimas confirmadas ou alegadas estão:

Setor Seguros e Financeiro:

• Allianz Life
• TransUnion
• Aflac Insurance

Aviação e Transportes:

• Qantas
• Air France & KLM
• FedEx
• UPS

Tecnologia:

• Atlassian
• DocuSign
• F5
• GitLab
• LinkedIn
• Malwarebytes
• Sonic
• Thomson Reuters
• Verizon

Retalho e Luxo:

• Adidas
• LVMH (incluindo Dior, Louis Vuitton, Tiffany & Co.)
• Chanel
• Gap
• IKEA
• Home Depot
• Marriott
• McDonald’s
• Walgreens

Setor Automóvel:

• Stellantis
• Jaguar Land Rover (JLR) – com danos superiores a £196 milhões (€220 milhões)

A Campanha Gainsight: Um Ataque em Cadeia

O incidente da CrowdStrike faz parte de uma campanha mais ampla contra o ecossistema Salesforce. Os hackers comprometeram a Gainsight e utilizaram as credenciais roubadas para aceder aos sistemas de dezenas de clientes Salesforce.

Como Funciona o Ataque em Cadeia

1. Compromisso Inicial: Os atacantes penetraram nos repositórios GitHub da Salesloft (empresa adquirida) já em março de 2025
2. Acesso Persistente: Mantiveram acesso não detectado durante meses
3. Roubo de Tokens OAuth: Exfiltraram tokens OAuth e credenciais API da Gainsight
4. Movimento Lateral: Utilizaram os tokens roubados para aceder aos sistemas dos clientes Gainsight
5. Exfiltração de Dados: Roubaram dados massivos de múltiplas organizações

Ameaças Internas em 2025: Um Problema de €17.4 Milhões

O Custo Real das Insider Threats

Segundo o Ponemon Institute 2025 Cost of Insider Risks Global Report, as ameaças internas representam um custo devastador para as organizações:

• Custo médio anual: $17.4 milhões (€16 milhões) por organização
• Tempo médio de deteção: 81 dias
• Apenas 12% dos incidentes são contidos em menos de 31 dias
• 83% das organizações reportaram pelo menos um ataque interno em 2024
• 77% das organizações sofreram pelo menos um incidente de perda de dados causado por insiders nos últimos 18 meses

Tipos de Ameaças Internas

1. Insider Malicioso (Malicious Insider)

Como no caso da CrowdStrike, são funcionários que intencionalmente abusam do seu acesso para:

• Roubar dados para venda
• Sabotar sistemas
• Executar espionagem corporativa
• Obter ganho financeiro

Motivações comuns:

• Ganho financeiro (como os €23.000 recebidos pelo insider da CrowdStrike)
• Vingança contra a organização
• Ideologia política
• Coerção por grupos criminosos

2. Insider Negligente (Negligent Insider)

Funcionários que não intencionalmente expõem a organização a riscos através de:

• Falta de consciencialização em cibersegurança
• Clicar em links de phishing
• Partilhar credenciais
• Utilizar passwords fracas
• Não seguir políticas de segurança

3. Insider Comprometido (Compromised Insider)

Funcionários cujas credenciais foram roubadas por atacantes externos, permitindo que cibercriminosos operem com acesso legítimo.

Como Detetar e Prevenir o Recrutamento de Insiders

Indicadores de Ameaça Interna

Nós da Dolutech recomendamos que as organizações estejam alertas para os seguintes sinais:

Indicadores Comportamentais:

• Mudanças repentinas no comportamento ou atitude
• Demonstração de ressentimento ou hostilidade
• Afluxo súbito ou riqueza inexplicável
• Dificuldades financeiras graves
• Problemas pessoais severos (divórcio, dependências)

Indicadores Técnicos:

• Acesso a sistemas fora do horário normal de trabalho
• Download de volumes anormais de dados
• Acesso a informações fora do âmbito das suas funções
• Tentativas de contornar controlos de segurança
• Uso de dispositivos de armazenamento externos não autorizados
• Capturas de ecrã frequentes de informações sensíveis

Indicadores de Recrutamento:

• Contactos não reportados com entidades externas suspeitas
• Interesse excessivo em informações classificadas ou sensíveis
• Perguntas sobre sistemas de segurança e monitorização
• Mudanças nos padrões de comunicação

Estratégias de Prevenção: Um Guia Técnico

1. Implementação de Zero Trust Architecture

O modelo Zero Trust opera no princípio de “nunca confiar, sempre verificar”. Segundo dados de 2025, 81% das organizações planeiam implementar Zero Trust até 2026.

Componentes essenciais:

# Exemplo de política de acesso Zero Trust
Princípio do Menor Privilégio (Least Privilege)
├── Acesso baseado em funções (RBAC)
├── Acesso just-in-time (JIT)
├── Revisão periódica de permissões
└── Segregação de funções críticas

Autenticação Contínua
├── Multi-Factor Authentication (MFA) obrigatório
├── Autenticação adaptativa baseada em contexto
├── Verificação de dispositivos
└── Monitorização de sessões em tempo real

Micro-segmentação
├── Isolamento de recursos críticos
├── Controlo granular de acesso
├── Segmentação por função e projeto
└── Políticas de firewall dinâmicas

2. User and Entity Behavior Analytics (UEBA)

Implementar plataformas UEBA com Inteligência Artificial e Machine Learning para:

• Estabelecer baselines de comportamento normal para cada utilizador
• Detetar anomalias comportamentais em tempo real
• Correlacionar atividades suspeitas entre múltiplos sistemas
• Gerar alertas automáticos para investigação

Exemplo de deteção de anomalia:

Baseline Normal:
- Funcionário acede a 50 ficheiros/dia
- Horário: 09:00-18:00
- Localização: Lisboa, Portugal
- Dispositivo: Laptop corporativo

Anomalia Detectada:
- Acesso a 5.000 ficheiros em 2 horas
- Horário: 02:00
- Localização: VPN com origem na Rússia
- Múltiplas tentativas de captura de ecrã
→ ALERTA CRÍTICO GERADO

3. Data Loss Prevention (DLP)

Implementar soluções DLP para:

• Monitorizar e controlar movimento de dados sensíveis
• Bloquear transferências não autorizadas
• Encriptar dados em repouso e em trânsito
• Aplicar políticas de classificação de informação

4. Privileged Access Management (PAM)

Para contas privilegiadas:

• Cofre de passwords centralizado
• Gravação de sessões privilegiadas
• Aprovação workflow para acessos críticos
• Rotação automática de credenciais
• Acesso temporizado e just-in-time

5. Endpoint Detection and Response (EDR)

Monitorização contínua de endpoints para:

• Detetar capturas de ecrã não autorizadas
• Identificar uso de dispositivos de armazenamento externos
• Monitorizar instalação de software não aprovado
• Detetar tentativas de exfiltração de dados

Exemplo de regra EDR:

# Deteção de múltiplas capturas de ecrã
# Regra para SIEM/EDR

IF (screenshot_count > 50 em 1_hora) AND
   (fora_horario_trabalho) AND
   (acesso_dados_sensiveis) THEN
   ALERT("Possível tentativa de exfiltração via screenshots")
   BLOCK(captura_ecrã)
   NOTIFY(SOC)
   LOG(sessao_completa)
END

6. Programa de Consciencialização em Segurança

Investir em formação contínua:

• ROI comprovado: €4.8 milhões em poupanças de custos
• Treinos regulares sobre engenharia social
• Simulações de phishing
• Políticas claras de reporte de atividades suspeitas
• Cultura de segurança “See Something, Say Something”

Resposta a Incidentes com Insiders

Quando um insider malicioso é detetado:

1. Isolamento Imediato
   • Revogar todos os acessos
   • Desativar credenciais
   • Bloquear dispositivos corporativos
2. Preservação de Evidências
   • Capturar logs de atividade
   • Preservar comunicações
   • Documentar timeline do incidente
3. Investigação Forense
   • Análise de sistemas acedidos
   • Identificação de dados comprometidos
   • Avaliação do dano
4. Reporte Legal
   • Notificar autoridades (como a CrowdStrike fez)
   • Cumprir obrigações de notificação (RGPD)
   • Cooperar com investigações criminais

Implicações para Empresas Portuguesas

Contexto Regulatório Europeu

As empresas portuguesas devem estar particularmente atentas devido ao contexto regulatório:

Diretiva NIS2 (Network and Information Security)

• Obrigações reforçadas de cibersegurança para operadores essenciais
• Requisitos específicos de gestão de riscos internos
• Penalizações severas por incumprimento

DORA (Digital Operational Resilience Act)

• Aplicável a entidades financeiras
• Requisitos de teste de resiliência operacional
• Gestão de riscos de terceiros e insiders

RGPD (Regulamento Geral de Proteção de Dados)

• Obrigação de notificação de violações em 72 horas
• Responsabilidade pela proteção de dados pessoais
• Sanções até 4% do volume de negócios global

Recomendações Específicas para Portugal

Nós aconselhamos as organizações portuguesas a:

1. Reportar ao CNCS (Centro Nacional de Cibersegurança)
   • Notificar incidentes de segurança
   • Partilhar indicadores de compromisso
   • Colaborar com autoridades nacionais
2. Implementar Controlos Adaptados ao Contexto Local
   • Considerar feriados e horários portugueses nas baselines
   • Geolocalização para detetar acessos anómalos
   • Políticas de privacidade em conformidade com legislação nacional
3. Parcerias com Entidades Nacionais
   • CERT.PT para alertas e resposta a incidentes
   • Polícia Judiciária – Unidade Nacional de Combate ao Cibercrime
   • Associações setoriais para partilha de inteligência

Conclusão: O Inimigo Está Dentro de Casa

O caso da CrowdStrike serve como um alerta crítico para toda a indústria: mesmo as empresas mais sofisticadas em cibersegurança não estão imunes às ameaças internas. O pagamento de €23.000 a um insider corrupto demonstra que os cibercriminosos estão dispostos a investir significativamente para contornar defesas técnicas, recorrendo ao elemento humano – frequentemente o elo mais fraco na cadeia de segurança.

A convergência de engenharia social sofisticada com os recursos combinados de três grandes gangues de cibercrime – ShinyHunters, Scattered Spider e Lapsus$ – representa uma evolução significativa no panorama de ameaças. Já não estamos a falar apenas de hackers tentando penetrar sistemas externamente, mas de operações coordenadas que recrutam ativamente insiders para contornar todas as defesas técnicas.

Para as organizações portuguesas e europeias, isto significa que a cibersegurança em 2025 deve ser abordada holisticamente:

Investimento em tecnologia – UEBA, EDR, PAM, DLP
Processos robustos – Zero Trust, gestão de acessos, revisões periódicas
Fator humano – formação, cultura de segurança, programas de consciencialização
Conformidade regulatória – NIS2, DORA, RGPD
Deteção precoce – Os 81 dias médios de deteção são inaceitáveis; quanto mais rápida a deteção, menores os custos (€8.1 milhões de diferença entre deteção rápida vs. lenta)

A Dolutech continuará a monitorizar a evolução desta ameaça e a fornecer análises aprofundadas para ajudar as organizações a protegerem-se contra insiders maliciosos e grupos sofisticados como o Scattered Lapsus$ Hunters.

Pergunta para reflexão: A sua organização está preparada para detetar um insider corrupto antes que cause danos de milhões de euros? Tem capacidade de identificar um funcionário a capturar screenshots sensíveis às 2 da manhã?