Um grupo de hackers lançou um novo site para expor e extorquir dezenas de empresas afetadas por uma onda de ataques direcionados a clientes da plataforma Salesforce. Os piratas informáticos, que se autodenominam "Scattered Lapsus$ Hunters" e afirmam incluir membros dos conhecidos grupos ShinyHunters, Scattered Spider e Lapsus$, estão a divulgar amostras de dados roubados para pressionar as vítimas a pagar um resgate.
Segundo informações avançadas pelo site da especialidade BleepingComputer, a nova plataforma de fuga de dados já lista 39 empresas, com um ultimato para que entrem em contacto antes de 10 de outubro para evitar a divulgação pública de toda a informação roubada.
Um ultimato público a gigantes mundiais
A lista de vítimas expostas no site inclui nomes de peso de vários setores, como a FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald's, Walgreens, Instacart, Cartier, Adidas, Air France & KLM, HBO MAX, UPS, Chanel e IKEA. Os atacantes afirmam que contactaram todas as empresas há bastante tempo e que a maioria optou por ignorar os avisos.
No site, o grupo deixa uma ameaça clara: "Aconselhamos vivamente que tomem a decisão correta. A vossa organização pode impedir a divulgação destes dados e recuperar o controlo da situação".
Salesforce também na mira: um resgate para mil milhões de registos
Para além das vítimas individuais, os hackers criaram uma entrada separada no site dirigida à própria Salesforce. Exigem o pagamento de um resgate para impedir a fuga de dados de todos os clientes afetados, um volume que estimam em cerca de mil milhões de registos com informação pessoal.
Caso a Salesforce pague, o grupo promete retirar-se de todas as negociações individuais com os clientes e não voltar a atacá-los. A ameaça vai mais longe, com os hackers a afirmarem que irão colaborar com escritórios de advogados em processos contra a Salesforce por falhas na proteção de dados, nomeadamente no que diz respeito ao Regulamento Geral sobre a Proteção de Dados (RGPD) europeu.
Engenharia social como arma
Estes ataques, que têm ocorrido desde o início do ano, baseiam-se em táticas de voice phishing (uma forma de engenharia social). Os atacantes enganam os colaboradores das empresas-alvo para que estes autorizem uma aplicação OAuth maliciosa na sua instância do Salesforce. Uma vez concedido o acesso, os hackers conseguem extrair bases de dados completas, que são depois usadas para a extorsão.
Entre as empresas já confirmadas como vítimas deste método contam-se a Google, Cisco, Qantas, Adidas, Allianz Life e subsidiárias do grupo LVMH como a Dior e Louis Vuitton.
A ligação aos ataques da Salesloft
Esta campanha está também ligada a um outro ataque em larga escala, que explorou uma integração de conversação com IA da Salesloft Drift com a Salesforce. Nesse incidente, os hackers afirmam ter roubado 1,5 mil milhões de registos de aproximadamente 760 empresas, incluindo gigantes da segurança informática como a Palo Alto Networks, Cloudflare, Proofpoint, Zscaler e Tenable.
Os "Scattered Lapsus$ Hunters" já anunciaram que irão lançar um site de fuga de dados separado para as vítimas do ataque à Salesloft, também no dia 10 de outubro, aumentando a pressão sobre um número ainda maior de organizações em todo o mundo.
Nenhum comentário
Seja o primeiro!