Red Hot Cyber
La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
LECS 320x100 1
2nd Edition GlitchZone RHC 970x120 2
Grupo disperso de cazadores de LAPSUS$ regresa y amenaza con publicar datos de Salesforce

Grupo disperso de cazadores de LAPSUS$ regresa y amenaza con publicar datos de Salesforce

Redazione RHC : 6 octubre 2025 16:09

Un grupo autodenominado Cazadores Dispersos de LAPSUS$ ha resurgido tras meses de silencio y el arresto de sus miembros. En un nuevo sitio web de filtraciones, los atacantes publicaron una lista de aproximadamente 40 entornos corporativos de Salesforce y exigieron un pago de casi mil millones de dólares (989,45 millones de dólares) a cambio de no divulgar los datos, que, según los extorsionadores, incluyen aproximadamente mil millones de registros de clientes. Han fijado un ultimátum para el 10 de octubre: si Salesforce no negocia, los delincuentes amenazan con publicar todo lo robado.

Un representante de Salesforce declaró a The Register que la empresa estaba al tanto de los intentos de extorsión y había llevado a cabo una investigación en colaboración con expertos externos y las fuerzas del orden . El comunicado oficial indicó que los incidentes estaban relacionados con casos previamente conocidos o no confirmados y que no se habían encontrado indicios de vulnerabilidad en la infraestructura de Salesforce. La empresa enfatizó que el ataque no estaba relacionado con ninguna vulnerabilidad en su tecnología y que los clientes afectados estaban recibiendo soporte.

Sin embargo, la situación tiene su origen en los sucesos de agosto. Se descubrió que los atacantes habían utilizado tokens OAuth a través de la integración Drift de Salesloft , lo que les permitió acceder a múltiples instancias de Salesforce.

Cloudflare informó que cientos de organizaciones se vieron afectadas, y en algunos casos se robó información de clientes . El equipo de Mandiant, contratado por Salesloft, se encargó de investigar estos incidentes, y el Grupo de Inteligencia de Amenazas de Google confirmó posteriormente el alcance de la filtración. Antes de lanzar el sitio web de la filtración, Google y Salesforce enviaron advertencias a las empresas potencialmente afectadas.

En su informe de agosto sobre los ataques a Salesforce, Google destacó la participación del grupo ShinyHunters en los incidentes y predijo la aparición de un sitio de filtraciones. En aquel momento, los analistas de la compañía también señalaron que la nueva ola de publicaciones probablemente tenía como objetivo aumentar la presión sobre las víctimas asociadas con los recientes ataques UNC6040 . Ese mismo día, apareció un canal de Telegram llamado Scattered LAPSUS$ Hunters, en el que Scattered Spider, ShinyHunters y Lapsus$ declararon su colaboración. Sin embargo, el canal solo duró unos días y se cerró a principios de la semana siguiente.

A mediados de septiembre, representantes de Scattered Spider y Lapsus$ anunciaron públicamente su retiro de las actividades, con la intención de «disfrutar de los millones que han acumulado» .

Pero poco después, dos adolescentes del Reino Unido fueron acusados de atentados contra la infraestructura de Transport for London, y los investigadores estadounidenses y británicos los vincularon con el grupo Scattered Spider. Otro adolescente se entregó a la policía de Las Vegas el 17 de septiembre, sospechoso de participar en una serie de atentados contra casinos en 2023, también atribuidos al mismo grupo.

En respuesta a las preguntas de los periodistas, representantes del nuevo grupo de la Sala de Prensa de SLH/SLSH se negaron a proporcionar detalles , confirmando únicamente que la decisión de reanudar las operaciones estaba «relacionada con los recientes arrestos». No hicieron comentarios sobre la estructura del grupo ni sobre la fuente de los datos filtrados.

Immagine del sitoRedazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Immagine del sito
Gemini 3.0 Pro: Google se prepara para el salto generacional y pretende superar a GPT-5 y Claude 4.5
Di Redazione RHC - 25/10/2025

En los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...

Immagine del sito
Explosión crítica de RCE en Microsoft WSUS explotada activamente. CISA advierte: riesgo inminente.
Di Redazione RHC - 25/10/2025

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...

Immagine del sito
¡Sin carne ni huesos, solo código! Llega el primer presentador de IA de Channel 4.
Di Redazione RHC - 24/10/2025

El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...

Immagine del sito
Rusia y el cibercrimen: un equilibrio entre la represión selectiva y el interés estatal
Di Ada Spinelli - 24/10/2025

El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...

Immagine del sito
Hackean la web de la FIA: datos personales de Max Verstappen y más de 7.000 pilotos expuestos
Di Redazione RHC - 24/10/2025

Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...