Grupo disperso de cazadores de LAPSUS$ regresa y amenaza con publicar datos de Salesforce

Redazione RHC : 6 octubre 2025 16:09

Un grupo autodenominado Cazadores Dispersos de LAPSUS$ ha resurgido tras meses de silencio y el arresto de sus miembros. En un nuevo sitio web de filtraciones, los atacantes publicaron una lista de aproximadamente 40 entornos corporativos de Salesforce y exigieron un pago de casi mil millones de dólares (989,45 millones de dólares) a cambio de no divulgar los datos, que, según los extorsionadores, incluyen aproximadamente mil millones de registros de clientes. Han fijado un ultimátum para el 10 de octubre: si Salesforce no negocia, los delincuentes amenazan con publicar todo lo robado.

Un representante de Salesforce declaró a The Register que la empresa estaba al tanto de los intentos de extorsión y había llevado a cabo una investigación en colaboración con expertos externos y las fuerzas del orden . El comunicado oficial indicó que los incidentes estaban relacionados con casos previamente conocidos o no confirmados y que no se habían encontrado indicios de vulnerabilidad en la infraestructura de Salesforce. La empresa enfatizó que el ataque no estaba relacionado con ninguna vulnerabilidad en su tecnología y que los clientes afectados estaban recibiendo soporte.

Sin embargo, la situación tiene su origen en los sucesos de agosto. Se descubrió que los atacantes habían utilizado tokens OAuth a través de la integración Drift de Salesloft , lo que les permitió acceder a múltiples instancias de Salesforce.

Cloudflare informó que cientos de organizaciones se vieron afectadas, y en algunos casos se robó información de clientes . El equipo de Mandiant, contratado por Salesloft, se encargó de investigar estos incidentes, y el Grupo de Inteligencia de Amenazas de Google confirmó posteriormente el alcance de la filtración. Antes de lanzar el sitio web de la filtración, Google y Salesforce enviaron advertencias a las empresas potencialmente afectadas.

En su informe de agosto sobre los ataques a Salesforce, Google destacó la participación del grupo ShinyHunters en los incidentes y predijo la aparición de un sitio de filtraciones. En aquel momento, los analistas de la compañía también señalaron que la nueva ola de publicaciones probablemente tenía como objetivo aumentar la presión sobre las víctimas asociadas con los recientes ataques UNC6040 . Ese mismo día, apareció un canal de Telegram llamado Scattered LAPSUS$ Hunters, en el que Scattered Spider, ShinyHunters y Lapsus$ declararon su colaboración. Sin embargo, el canal solo duró unos días y se cerró a principios de la semana siguiente.

A mediados de septiembre, representantes de Scattered Spider y Lapsus$ anunciaron públicamente su retiro de las actividades, con la intención de «disfrutar de los millones que han acumulado» .

Pero poco después, dos adolescentes del Reino Unido fueron acusados de atentados contra la infraestructura de Transport for London, y los investigadores estadounidenses y británicos los vincularon con el grupo Scattered Spider. Otro adolescente se entregó a la policía de Las Vegas el 17 de septiembre, sospechoso de participar en una serie de atentados contra casinos en 2023, también atribuidos al mismo grupo.

En respuesta a las preguntas de los periodistas, representantes del nuevo grupo de la Sala de Prensa de SLH/SLSH se negaron a proporcionar detalles , confirmando únicamente que la decisión de reanudar las operaciones estaba «relacionada con los recientes arrestos». No hicieron comentarios sobre la estructura del grupo ni sobre la fuente de los datos filtrados.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli