Redazione RHC : 6 octubre 2025 16:09
Un grupo autodenominado Cazadores Dispersos de LAPSUS$ ha resurgido tras meses de silencio y el arresto de sus miembros. En un nuevo sitio web de filtraciones, los atacantes publicaron una lista de aproximadamente 40 entornos corporativos de Salesforce y exigieron un pago de casi mil millones de dólares (989,45 millones de dólares) a cambio de no divulgar los datos, que, según los extorsionadores, incluyen aproximadamente mil millones de registros de clientes. Han fijado un ultimátum para el 10 de octubre: si Salesforce no negocia, los delincuentes amenazan con publicar todo lo robado.
Un representante de Salesforce declaró a The Register que la empresa estaba al tanto de los intentos de extorsión y había llevado a cabo una investigación en colaboración con expertos externos y las fuerzas del orden . El comunicado oficial indicó que los incidentes estaban relacionados con casos previamente conocidos o no confirmados y que no se habían encontrado indicios de vulnerabilidad en la infraestructura de Salesforce. La empresa enfatizó que el ataque no estaba relacionado con ninguna vulnerabilidad en su tecnología y que los clientes afectados estaban recibiendo soporte.
Sin embargo, la situación tiene su origen en los sucesos de agosto. Se descubrió que los atacantes habían utilizado tokens OAuth a través de la integración Drift de Salesloft , lo que les permitió acceder a múltiples instancias de Salesforce.
Cloudflare informó que cientos de organizaciones se vieron afectadas, y en algunos casos se robó información de clientes . El equipo de Mandiant, contratado por Salesloft, se encargó de investigar estos incidentes, y el Grupo de Inteligencia de Amenazas de Google confirmó posteriormente el alcance de la filtración. Antes de lanzar el sitio web de la filtración, Google y Salesforce enviaron advertencias a las empresas potencialmente afectadas.
En su informe de agosto sobre los ataques a Salesforce, Google destacó la participación del grupo ShinyHunters en los incidentes y predijo la aparición de un sitio de filtraciones. En aquel momento, los analistas de la compañía también señalaron que la nueva ola de publicaciones probablemente tenía como objetivo aumentar la presión sobre las víctimas asociadas con los recientes ataques UNC6040 . Ese mismo día, apareció un canal de Telegram llamado Scattered LAPSUS$ Hunters, en el que Scattered Spider, ShinyHunters y Lapsus$ declararon su colaboración. Sin embargo, el canal solo duró unos días y se cerró a principios de la semana siguiente.
A mediados de septiembre, representantes de Scattered Spider y Lapsus$ anunciaron públicamente su retiro de las actividades, con la intención de «disfrutar de los millones que han acumulado» .
Pero poco después, dos adolescentes del Reino Unido fueron acusados de atentados contra la infraestructura de Transport for London, y los investigadores estadounidenses y británicos los vincularon con el grupo Scattered Spider. Otro adolescente se entregó a la policía de Las Vegas el 17 de septiembre, sospechoso de participar en una serie de atentados contra casinos en 2023, también atribuidos al mismo grupo.
En respuesta a las preguntas de los periodistas, representantes del nuevo grupo de la Sala de Prensa de SLH/SLSH se negaron a proporcionar detalles , confirmando únicamente que la decisión de reanudar las operaciones estaba «relacionada con los recientes arrestos». No hicieron comentarios sobre la estructura del grupo ni sobre la fuente de los datos filtrados.
Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....
Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...
Oracle ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2025-61882 en Oracle E-Business Suite . Esta falla puede explotarse remotamente sin autenticación , l...
Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...