Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Red Hot Cyber Academy
Salesforce se niega a pagar el rescate por los ataques de Scattered Lapsus Hunters

Salesforce se niega a pagar el rescate por los ataques de Scattered Lapsus Hunters

Redazione RHC : 10 octubre 2025 10:11

Representantes de Salesforce han anunciado que no tienen intención de negociar ni pagar un rescate a los atacantes responsables de una serie de ataques a gran escala que resultaron en el robo de datos de clientes de la compañía. Los hackers intentan chantajear a 39 empresas cuyos datos fueron robados de Salesforce.

La semana pasada, Scattered Lapsus$ Hunters (una combinación de miembros de los grupos de hackers Scattered Spider, LAPSUS$ y Shiny Hunters) lanzaron su propio sitio de fuga de datos (DLS) que enumera 39 organizaciones afectadas por violaciones de datos relacionadas con Salesforce.

Cada publicación contiene ejemplos de datos robados de cuentas de Salesforce y advierte a las empresas afectadas que se comuniquen con los piratas informáticos antes del 10 de octubre de 2025 para evitar que cualquier información robada se divulgue públicamente.

Los cazadores de lapsus$ están intentando extorsionar dinero de una serie de marcas y organizaciones conocidas, entre las que se incluyen: FedEx, Disney y Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France y KLM, Transunion, HBO Max, UPS, Chanel e IKEA.

«Les recomendamos encarecidamente que tomen la decisión correcta. Su organización podrá prevenir una filtración de datos, recuperar el control de la situación y todas las operaciones se mantendrán estables como antes. Animamos a los responsables de la toma de decisiones a participar en este proceso, ya que presentamos una solución clara y mutuamente beneficiosa», escribieron los hackers.

Los atacantes también publicaron un mensaje aparte en su sitio web, dirigido a Salesforce. Exigieron un rescate a la empresa para evitar la filtración de datos de todos los clientes afectados (un total de aproximadamente mil millones de registros con información personal).

«Si cumplen con nuestras exigencias, cancelaremos cualquier negociación activa o en curso con sus clientes. Si pagan, sus clientes ya no serán atacados ni recibirán nuestras peticiones de rescate», afirman los atacantes, dirigiéndose a Salesforce.

Los extorsionadores también amenazan a la empresa, alegando que, una vez divulgados los datos, ayudarán a los bufetes de abogados a presentar demandas civiles y mercantiles contra Salesforce. Advierten, además, que la empresa no ha protegido los datos de sus clientes conforme a los requisitos del Reglamento General de Protección de Datos (RGPD) europeo.

Como informó Bloomberg , Salesforce envió cartas a sus clientes esta semana indicando que no pagaría el rescate ni negociaría con los hackers. La compañía también advirtió que, según información fidedigna, los atacantes tienen la intención de liberar pronto los datos robados.

Recordemos que el robo de datos de Salesforce se produjo como parte de dos campañas distintas. La primera comenzó a finales de 2024. En ese momento, los atacantes utilizaron técnicas de ingeniería social (generalmente haciéndose pasar por personal de soporte técnico) para convencer a los empleados de varias empresas de que conectaran una aplicación OAuth maliciosa a sus instancias corporativas de Salesforce. Una vez conectadas, los atacantes utilizaron el acceso obtenido para descargar y robar datos, y luego extorsionar a las empresas.

La segunda campaña comenzó en agosto de 2025. En este caso, los piratas informáticos utilizaron tokens OAuth robados de SalesLoft Drift para acceder a los sistemas CRM de los clientes y extraer información.

Los ataques de SalesLoft se dirigieron principalmente a los tickets de soporte, que contienen credenciales, tokens de API, tokens de autenticación y otra información que podría usarse para comprometer la infraestructura interna y los servicios en la nube de las organizaciones.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Ataque de día cero para Oracle E-Business Suite: Clop explota CVE-2025-61882
Di Redazione RHC - 10/10/2025

La semana pasada, Oracle advirtió a sus clientes sobre una vulnerabilidad crítica de día cero en su E-Business Suite (CVE-2025-61882), que permite la ejecución remota de código arbitrario sin aut...

¡Lo quiero todo! ChatGPT listo para convertirse en un sistema operativo
Di Redazione RHC - 10/10/2025

Cuando Nick Turley se unió a OpenAI en 2022 para liderar el equipo de ChatGPT, se le encomendó la tarea de transformar la investigación empresarial en un producto comercial. Ha cumplido esta misió...

Los hackers éticos italianos encabezan el podio en el European Cybersecurity Challenge 2025.
Di Redazione RHC - 09/10/2025

Del 6 al 9 de octubre de 2025, Varsovia albergó la 11.ª edición del Desafío Europeo de Ciberseguridad (CECA) . En una reñida competición entre 39 equipos de Estados miembros de la UE, países de...

1.000 terminales TPV de tiendas de EE. UU. y Reino Unido hackeadas y puestas a subasta: «acceso completo» por 55.000 dólares
Di Redazione RHC - 09/10/2025

Un nuevo anuncio publicado en un foro clandestino fue descubierto recientemente por investigadores del laboratorio de inteligencia de amenazas Dark Lab , demostrando claramente cuán activo y peligros...

Grupos de ransomware unen fuerzas: LockBit, DragonForce y Qilin
Di Redazione RHC - 09/10/2025

Tres importantes grupos de ransomware —DragonForce, Qilin y LockBit— han anunciado una alianza. Se trata, en esencia, de un intento de coordinar las actividades de varios operadores importantes de...