Um grupo de extorsão lançou um novo site de vazamento de dados para pressionar publicamente dezenas de empresas afetadas por uma série de invasões em instâncias do Salesforce, divulgando amostras das informações roubadas durante os ataques.
Os responsáveis por esses ataques afirmam fazer parte dos grupos ShinyHunters, Scattered Spider e Lapsus$, que juntos se autointitulam “Scattered Lapsus$ Hunters”.
Nesta segunda-feira, eles ativaram o novo site, que inclui 39 empresas alvo das invasões.
Cada entrada traz amostras dos dados supostamente extraídos das contas no Salesforce e alerta as vítimas para entrarem em contato com o grupo antes do prazo de 10 de outubro, para evitar a divulgação pública dessas informações.
Entre as empresas extorquidas, há grandes nomes do mercado, como FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France & KLM, TransUnion, HBO Max, UPS, Chanel e IKEA.
“Todas foram contatadas há bastante tempo. Vi que abriram o e-mail porque observei várias vezes o download das amostras. A maioria preferiu não se manifestar e ignorar”, disse o ShinyHunters ao BleepingComputer.
“O conselho é que façam a escolha certa. Sua organização pode evitar a divulgação desses dados, retomar o controle da situação e manter as operações estáveis, como sempre. Recomendamos que um tomador de decisão se envolva, pois estamos oferecendo uma solução clara e mutuamente benéfica para resolver essa questão”, alertam no site de vazamento.
Além disso, o grupo pede que o próprio Salesforce pague um resgate para impedir que os dados de todos os clientes afetados — cerca de 1 bilhão de registros com informações pessoais — sejam divulgados.
“Se aceitarem, interromperemos qualquer negociação ativa ou pendente individualmente em relação aos seus clientes. Eles não serão mais atacados nem sofrerão extorsão por nossa parte, caso o pagamento seja realizado”, acrescentam.
Os hackers também ameaçaram a Salesforce diretamente, afirmando que auxiliarão escritórios de advocacia a mover ações civis e comerciais contra a empresa, após as brechas.
Ainda apontaram que a companhia falhou em proteger os dados dos clientes conforme exige o Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
Desde o começo do ano, os Scattered Lapsus$ Hunters têm atacado clientes do Salesforce usando ataques de voice phishing (vishing), que resultaram em invasões a empresas como Google, Cisco, Qantas, Adidas, Allianz Life, Farmers Insurance, Workday e subsidiárias do grupo LVMH, incluindo Dior, Louis Vuitton e Tiffany & Co.
Nessas investidas, os criminosos enganaram funcionários para conectar um aplicativo OAuth malicioso à instância da Salesforce da empresa.
Com essa conexão, eles conseguiram roubar bancos de dados corporativos e usaram as informações para extorquir as vítimas por e-mail.
As mensagens de extorsão foram assinadas pelo ShinyHunters, grupo conhecido por uma série de ataques de grande repercussão nos últimos anos, incluindo invasões ao Snowflake e as empresas AT&T e PowerSchool.
O ShinyHunters também afirmou ter utilizado tokens OAuth roubados para acessar a integração do chat Drift AI da Salesloft com Salesforce, para extrair dados sensíveis como senhas, chaves de acesso AWS e tokens do Snowflake de clientes da Salesforce.
Esses incidentes estão sendo monitorados pela Mandiant sob o codinome “UNC6395”, pois a empresa ainda não conseguiu confirmar oficialmente o vínculo das invasões com o grupo.
Em um canal no Telegram associado ao grupo, os criminosos afirmam que irão começar a extorquir empresas afetadas pelos ataques à Salesloft Drift em um site separado, que será lançado em 10 de outubro.
Anteriormente, o ShinyHunters informou ao BleepingComputer que os ataques envolvendo o Salesloft afetaram cerca de 760 empresas, resultando no roubo de 1,5 bilhão de registros do Salesforce.
Entre os alvos desses ataques estão Google, Palo Alto Networks, CyberArk, Cloudflare, Rubrik, Elastic, BeyondTrust, Proofpoint, JFrog, Zscaler, Tenable, Nutanix, Qualys, Cato Networks e diversas outras companhias.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...