Sono oltre un miliardo i dati rubati attraverso i numerosi attacchi effettuati negli ultimi mesi contro le istanze Salesforce. Il gruppo Scattered Lapsus$ Hunters ha pubblicato i database su un sito nel dark web e elencato le aziende interessate che devono pagare una somma di denaro entro il 10 ottobre per evitare la divulgazione delle informazioni.

Estorsione per 39 aziende

I primi attacchi sono iniziati nel mese di giugno. Utilizzando la tecnica del vishing (voice phishing), i cybercriminali hanno ingannato i dipendenti delle aziende facendo credere di essere il supporto tecnico. Attraverso un’app OAuth hanno ottenuto l’accesso alle istanze Salesforce e rubato interi database.

Le vittime note sono piuttosto numerose: Google, Cisco, Qantas, Adidas, Allianz Life, Farmers Insurance, Workday e le sussidiarie di LVMH, tra cui Dior, Louis Vuitton e Tiffany. Le email estorsive erano firmate dal gruppo ShinyHunters.

Agli attacchi successivi ha partecipato anche Scattered Spider. La collaborazione tra i due gruppi è stata indicata con Sp1d3rHunters. Gli attacchi più recenti sono stati effettuati anche insieme a Lapsus$, formando così il supergruppo criminale Scattered Lapsus$ Hunters.

Sul sito aperto nel dark web sono elencate 39 aziende, ma il numero di vittime è più alto. I cybercriminali consigliano di contattarli per negoziare la somma da pagare. Viene usato il termine riscatto, ma non è stato installato nessun ransomware dopo il furto dei dati, quindi si tratta di estorsione.

Se Salesforce pagherà la somma concordata per tutti i dati (circa un miliardo), i cybercriminali non chiederanno nulla alle singole aziende. In caso contrario verranno divulgate tutte le informazioni e fornito supporto in caso di denunce contro Salesforce per la violazione del GDPR (Regolamento generale sulla protezione dei dati) in Europa. L’azienda californiana ha dichiarato che la piattaforma Salesforce non è stata compromessa, quindi è chiaro che non pagherà nulla.

ShinyHunters è anche responsabile del furto dei dati effettuato attraverso l’integrazione di Salesloft Drift con il CRM di Salesforce. Tra le vittime ci sono Google e Cloudflare. I cybercriminali affermano che le aziende interessate sono circa 760. L’elenco verrà pubblicato su un altro sito il 10 ottobre.