A Salesforce confirmou que não irá negociar nem pagar qualquer resgate aos agentes maliciosos responsáveis por uma onda massiva de ciberataques que resultou no roubo de dados de dezenas de clientes de alto perfil. A empresa já alertou os seus clientes para a elevada probabilidade de os dados roubados serem divulgados publicamente.
Numa comunicação enviada aos clientes afetados e confirmada ao BleepingComputer, a gigante tecnológica foi clara: "Posso confirmar que a Salesforce não se envolverá, negociará ou pagará qualquer exigência de extorsão". Esta tomada de posição surge como uma resposta direta a uma tentativa de extorsão em larga escala.
A extorsão e o portal da vergonha
O grupo de hackers, que se autointitula "Scattered Lapsus$ Hunters", chegou a criar um site dedicado à fuga de dados, alojado num domínio que remete para o infame fórum de hacking BreachForums. Neste portal, os criminosos tentavam extorquir 39 empresas, ameaçando divulgar publicamente os dados roubados.
A lista de vítimas parece um "quem é quem" do mundo empresarial, incluindo nomes como FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald's, Walgreens, Chanel e IKEA. No total, os hackers afirmam ter roubado quase mil milhões de registos de dados. A exigência passava pelo pagamento de um resgate individual por cada empresa ou por um pagamento único da Salesforce que cobriria todos os clientes afetados.
As duas vagas de ataque que comprometeram a Salesforce
Os dados foram comprometidos em duas campanhas distintas que ocorreram ao longo de 2025, explorando diferentes vulnerabilidades na segurança das implementações dos seus clientes.
A primeira campanha começou no final de 2024 e assentou em táticas de engenharia social. Os atacantes faziam-se passar por funcionários do suporte técnico para enganar os colaboradores das empresas-alvo, levando-os a conectar uma aplicação OAuth maliciosa à sua instância da Salesforce. Uma vez estabelecida a ligação, os hackers conseguiam descarregar as bases de dados para depois extorquir as empresas.
A segunda vaga de ataques, que teve início em agosto de 2025, foi um ciberataque à cadeia de abastecimento. Os criminosos utilizaram tokens OAuth roubados da plataforma SalesLoft Drift para aceder aos ambientes CRM dos clientes da Salesforce e exfiltrar dados. O foco principal era roubar dados de tickets de suporte para encontrar credenciais, tokens de API e outras informações sensíveis que permitissem escalar os ataques. Um dos atores por trás desta campanha, conhecido como ShinyHunters, afirmou ter roubado aproximadamente 1,5 mil milhões de registos de mais de 760 empresas.
O misterioso encerramento do site de extorsão
Curiosamente, o site de extorsão criado pelos hackers encontra-se agora offline. A análise ao domínio revela que este está a utilizar nameservers da Cloudflare que, no passado, foram associados a apreensões de domínios realizadas pelo FBI. Este desenvolvimento sugere uma possível intervenção das autoridades, embora ainda não haja confirmação oficial sobre o desfecho da operação de ransomware.
Nenhum comentário
Seja o primeiro!