Ультиматум с девятью нулями: у Salesforce есть несколько дней, чтобы решить судьбу почти миллиада строк данных
NewsMakerХакеры ушли с миллионами, но вернулись за миллиардом.
Группа, называющая себя Scattered LAPSUS$ Hunters, вновь заявила о себе после месяцев молчания и арестов участников. На новом сайте утечек злоумышленники выложили список из около 40 корпоративных окружений Salesforce и потребовали выплату почти миллиарда долларов — $989,45 млн — в обмен на неразглашение данных, которые, по словам вымогателей, включают около миллиарда записей клиентов. Срок ультиматума установлен до 10 октября: если Salesforce не вступит в переговоры, преступники грозят опубликовать всё похищенное.
Представитель Salesforce сообщил изданию The Register, что компания осведомлена о попытках вымогательства и провела расследование совместно с внешними экспертами и правоохранительными структурами. В официальном уведомлении указано, что инциденты связаны с ранее известными или неподтверждёнными случаями, и признаков компрометации инфраструктуры Salesforce не обнаружено. Компания подчеркнула, что атака не связана ни с какими уязвимостями в её технологиях, а пострадавшим клиентам оказывается поддержка.
Тем не менее ситуация имеет корни в событиях августа. Тогда выяснилось, что злоумышленники использовали OAuth-токены через интеграцию Drift в Salesloft , что позволило им получить доступ к множеству экземпляров Salesforce. Cloudflare сообщила, что пострадали «сотни организаций», а в ряде случаев была похищена клиентская информация. Расследование этих инцидентов поручили команде Mandiant, привлечённой компанией Salesloft, а Google Threat Intelligence Group позже подтвердила масштаб злоупотреблений. Перед запуском нынешнего сайта утечек Google и Salesforce предупредили компании, которые могли попасть под удар.
Google в своём августовском отчёте о вторжениях в Salesforce-среды отмечала, что к инцидентам причастна группировка ShinyHunters, и предсказывала появление сайта утечки. Тогда аналитики компании также указывали, что новая волна публикаций, вероятно, направлена на усиление давления на жертв, связанных с недавними атаками UNC6040. В тот же день в Telegram появился канал под названием Scattered LAPSUS$ Hunters, где Scattered Spider, ShinyHunters и Lapsus$ заявили о сотрудничестве. Однако канал просуществовал всего несколько дней и был удалён уже к началу следующей недели.
К середине сентября представители Scattered Spider и Lapsus$ публично заявили , что уходят из активной деятельности, намереваясь «наслаждаться накопленными миллионами». Но вскоре после этого два подростка из Великобритании были обвинены в атаках на инфраструктуру Transport for London, а американские и британские следователи связали их с группировкой Scattered Spider. Ещё один подросток сдался полиции Лас-Вегаса 17 сентября — его подозревают в участии в серии атак на казино в 2023 году, также приписываемых этой же группировке .
На запрос журналистов представители нового объединения SLH/SLSH Press Newsroom отказались обсуждать детали, подтвердив лишь, что решение о возобновлении активности «связано с недавними арестами». Комментариев о структуре группы или происхождении утёкших данных они не предоставили.
Группа, называющая себя Scattered LAPSUS$ Hunters, вновь заявила о себе после месяцев молчания и арестов участников. На новом сайте утечек злоумышленники выложили список из около 40 корпоративных окружений Salesforce и потребовали выплату почти миллиарда долларов — $989,45 млн — в обмен на неразглашение данных, которые, по словам вымогателей, включают около миллиарда записей клиентов. Срок ультиматума установлен до 10 октября: если Salesforce не вступит в переговоры, преступники грозят опубликовать всё похищенное.
Представитель Salesforce сообщил изданию The Register, что компания осведомлена о попытках вымогательства и провела расследование совместно с внешними экспертами и правоохранительными структурами. В официальном уведомлении указано, что инциденты связаны с ранее известными или неподтверждёнными случаями, и признаков компрометации инфраструктуры Salesforce не обнаружено. Компания подчеркнула, что атака не связана ни с какими уязвимостями в её технологиях, а пострадавшим клиентам оказывается поддержка.
Тем не менее ситуация имеет корни в событиях августа. Тогда выяснилось, что злоумышленники использовали OAuth-токены через интеграцию Drift в Salesloft , что позволило им получить доступ к множеству экземпляров Salesforce. Cloudflare сообщила, что пострадали «сотни организаций», а в ряде случаев была похищена клиентская информация. Расследование этих инцидентов поручили команде Mandiant, привлечённой компанией Salesloft, а Google Threat Intelligence Group позже подтвердила масштаб злоупотреблений. Перед запуском нынешнего сайта утечек Google и Salesforce предупредили компании, которые могли попасть под удар.
Google в своём августовском отчёте о вторжениях в Salesforce-среды отмечала, что к инцидентам причастна группировка ShinyHunters, и предсказывала появление сайта утечки. Тогда аналитики компании также указывали, что новая волна публикаций, вероятно, направлена на усиление давления на жертв, связанных с недавними атаками UNC6040. В тот же день в Telegram появился канал под названием Scattered LAPSUS$ Hunters, где Scattered Spider, ShinyHunters и Lapsus$ заявили о сотрудничестве. Однако канал просуществовал всего несколько дней и был удалён уже к началу следующей недели.
К середине сентября представители Scattered Spider и Lapsus$ публично заявили , что уходят из активной деятельности, намереваясь «наслаждаться накопленными миллионами». Но вскоре после этого два подростка из Великобритании были обвинены в атаках на инфраструктуру Transport for London, а американские и британские следователи связали их с группировкой Scattered Spider. Ещё один подросток сдался полиции Лас-Вегаса 17 сентября — его подозревают в участии в серии атак на казино в 2023 году, также приписываемых этой же группировке .
На запрос журналистов представители нового объединения SLH/SLSH Press Newsroom отказались обсуждать детали, подтвердив лишь, что решение о возобновлении активности «связано с недавними арестами». Комментариев о структуре группы или происхождении утёкших данных они не предоставили.