Grup pemerasan telah meluncurkan situs kebocoran data baru untuk memeras lusinan perusahaan yang terkena dampak a Gelombang pelanggaran Salesforcesampel bocor data yang dicuri dalam serangan.
Aktor -aktor ancaman yang bertanggung jawab atas serangan -serangan ini mengklaim sebagai bagian dari kelompok Shinyhunters, Spider yang tersebar, dan grup Lapsus $, secara kolektif menyebut diri mereka sebagai “pemburu $ Lapsus $ yang tersebar.”
Hari ini, mereka meluncurkan situs kebocoran data baru yang berisi 39 perusahaan yang terkena dampak serangan. Setiap entri mencakup sampel data yang diduga dicuri dari instance Salesforce korban, dan memperingatkan para korban untuk menjangkau untuk “mencegah pengungkapan publik” dari data mereka sebelum batas waktu 10 Oktober tercapai.
The companies being extorted on the data leak site include well-known brands and organizations, including FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France & KLM, Transunion, HBO MAX, UPS, Chanel, and IKEA.
“Semuanya telah dihubungi sejak lama, mereka melihat email karena saya melihat mereka mengunduh sampel beberapa kali. Sebagian besar dari mereka memilih untuk tidak mengungkapkan dan mengabaikan,” kata Shinyhunters kepada BleepingComputer.
“Kami sangat menyarankan Anda melanjutkan ke keputusan yang tepat, organisasi Anda dapat mencegah pelepasan data ini, mendapatkan kembali kendali atas situasi dan semua operasi tetap stabil seperti biasa. Kami sangat merekomendasikan pembuat keputusan untuk terlibat karena kami menghadirkan peluang yang jelas dan saling menguntungkan untuk menyelesaikan masalah ini,” mereka memperingatkan di lokasi bocor.
Aktor ancaman juga menambahkan entri terpisah yang meminta Salesforce membayar tebusan untuk mencegah semua data pelanggan yang terkena dampak (sekitar 1 miliar catatan yang berisi informasi pribadi) bocor.
“Jika Anda patuh, kami akan menarik diri dari negosiasi aktif atau tertunda secara tidak terpisahkan dari pelanggan Anda. Pelanggan Anda tidak akan diserang lagi juga tidak akan menghadapi tebusan dari kami lagi, jika Anda membayar,” tambah mereka.
Kelompok pemerasan juga mengancam perusahaan, yang menyatakan bahwa itu akan membantu firma hukum mengejar gugatan sipil dan komersial terhadap Salesforce setelah pelanggaran data dan memperingatkan bahwa perusahaan juga gagal melindungi data pelanggan sebagaimana diharuskan oleh Peraturan Perlindungan Data Umum Eropa (GDPR).
Pemburu Lapsus $ yang tersebar telah Menargetkan pelanggan Salesforce dengan serangan phishing suara Sejak awal tahunyang menyebabkan pelanggaran yang memengaruhi perusahaan seperti Google, Cisco, Qantas, Adidas, Kehidupan Allianz, Asuransi petani, Hari kerjaserta anak perusahaan LVMH, termasuk Dior, Louis VuittonDan Tiffany & co.
Dalam serangan ini, para aktor ancaman menipu karyawan untuk menghubungkan aplikasi oauth jahat dengan instance Salesforce perusahaan mereka. Shinyhunters mengatakan kepada BleepingComputer bahwa sementara instance Salesforce tertentu mungkin telah ditargetkan, itu juga berisi data untuk banyak anak perusahaan, membuat serangan lebih berdampak.
Setelah terhubung, penyerang mencuri basis data perusahaan dan menggunakan data untuk memeras korban melalui email. Email pemerasan ini ditandatangani oleh Shinyhunters, kelompok pemerasan terkenal yang terhubung dengan serangkaian panjang pelanggaran profil tinggi dalam beberapa tahun terakhir, termasuk Serangan kepingan salju dan mereka yang menentang AT&T dan Powerschool.
Shinyhunters juga diklaim telah digunakan Token OAuth yang dicuri Untuk integrasi obrolan AI drift Salesloft dengan Salesforce untuk mencuri informasi sensitif, termasuk kata sandi, kunci akses AWS, dan token kepingan salju, dari instance Salesforce pelanggan.
Serangan -serangan ini dilacak oleh Mandiant di bawah gugus ancaman terpisah bernama “UNC6395” karena mereka tidak dapat secara resmi menghubungkan pelanggaran dengan kelompok ini.
Pada saluran telegram yang terkait dengan kelompok pemerasan, para aktor ancaman mengklaim bahwa mereka akan mulai memeras perusahaan yang terkena dampak serangan drift salesloft pada peluncuran situs bocor data terpisah pada 10 Oktober.
Shinyhunters sebelumnya mengatakan kepada BleepingComputer bahwa serangan pencurian data Salesloft berdampak pada sekitar 760 perusahaan dan mengakibatkan pencurian 1,5 miliar catatan Salesforce.
Serangan Salesloft diketahui terpengaruh Google, Jaringan Palo Alto, Cyberark, Cloudflare, Rubrik, Elastis, Luar, Proofpoint, Jfrog, Zscaler, Dapat dipertahankan, Nutanix, QualysDan Jaringan Cato, di antara banyak lainnya. Shinyhunters mengklaim bahwa perusahaan tidak akan diperluas kembali di bawah kampanye Salesloft jika tebusan dibayar dalam fase pemerasan awal ini.
“Kami menyadari upaya pemerasan baru -baru ini oleh para aktor ancaman, yang telah kami selidiki dalam kemitraan dengan para ahli dan otoritas eksternal. Temuan kami menunjukkan upaya -upaya ini terkait dengan insiden masa lalu atau tidak berdasar, dan kami tetap terlibat dengan pelanggan yang terkena dampak untuk memberikan dukungan,” Salesforce dengan Salesforce, dan kami tetap terlibat dengan pelanggan yang terkena dampak untuk memberikan dukungan, “Salesforce dengan kata dalam sebuah pernyataan Diterbitkan setelah Shinyhunters meluncurkan situs kebocoran data mereka.
“Pada saat ini, tidak ada indikasi bahwa platform Salesforce telah dikompromikan, juga aktivitas ini tidak terkait dengan kerentanan yang diketahui dalam teknologi kami.”
UPDATE 03 Oktober, 11:02 EDT: Menambahkan Pernyataan Salesforce.
Acara Validasi Keamanan Tahun Ini: KTT PICUS BAS
Bergabunglah dengan KTT Breach and Attack Simulation dan alami masa depan validasi keamanan. Mendengar dari para ahli top dan lihat caranya BAS bertenaga AI mengubah pelanggaran dan simulasi serangan.
Jangan lewatkan acara yang akan membentuk masa depan strategi keamanan Anda
