Ritorna il gruppo Scattered LAPSUS$ Hunters e minaccia di divulgare i dati di Salesforce

Un gruppo che si autodefinisce Scattered LAPSUS$ Hunters è ricomparso dopo mesi di silenzio e l’arresto dei suoi membri. Su un nuovo sito di fuga di notizie, gli aggressori hanno pubblicato un elenco di circa 40 ambienti aziendali Salesforce e hanno chiesto un pagamento di quasi un miliardo di dollari – 989,45 milioni di dollari – in cambio della non divulgazione dei dati, che, secondo gli estorsori, includono circa un miliardo di record di clienti. Hanno fissato un ultimatum per il 10 ottobre: se Salesforce non riuscirà a negoziare, i criminali minacciano di pubblicare tutto ciò che hanno rubato.

Un rappresentante di Salesforce ha dichiarato a The Register che l’azienda era a conoscenza dei tentativi di estorsione e aveva condotto un’indagine in collaborazione con esperti esterni e forze dell’ordine. La nota ufficiale affermava che gli incidenti erano correlati a casi precedentemente noti o non confermati e che non erano stati riscontrati segni di compromissione dell’infrastruttura di Salesforce. L’azienda ha sottolineato che l’attacco non era correlato ad alcuna vulnerabilità nella sua tecnologia e che i clienti interessati stanno ricevendo supporto.

Tuttavia, la situazione affonda le sue radici in eventi accaduti ad agosto. Si è scoperto che gli aggressori avevano utilizzato token OAuth tramite l’integrazione Drift di Salesloft , consentendo loro di accedere a più istanze di Salesforce.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Cloudflare ha segnalato che “centinaia di organizzazioni” sono state colpite, con il furto di informazioni sui clienti in alcuni casi. Il team di Mandiant, incaricato da Salesloft, è stato incaricato di indagare su questi incidenti e il Google Threat Intelligence Group ha successivamente confermato l’entità della violazione. Prima di lanciare l’attuale sito di fuga di notizie, Google e Salesforce hanno inviato avvisi alle aziende potenzialmente interessate.

Nel suo rapporto di agosto sulle intrusioni in Salesforce, Google ha evidenziato il coinvolgimento del gruppo ShinyHunters negli incidenti e ha previsto la comparsa di un sito di fuga di notizie. All’epoca, gli analisti dell’azienda hanno anche osservato che la nuova ondata di pubblicazioni mirava probabilmente ad aumentare la pressione sulle vittime associate ai recenti attacchi UNC6040. Lo stesso giorno, è apparso un canale Telegram chiamato Scattered LAPSUS$ Hunters, con Scattered Spider, ShinyHunters e Lapsus$ che dichiaravano la loro collaborazione. Tuttavia, il canale è durato solo pochi giorni ed è stato chiuso all’inizio della settimana successiva.

A metà settembre, i rappresentanti di Scattered Spider e Lapsus$ hanno annunciato pubblicamente il loro ritiro dalle attività, con l’intenzione di “godersi i milioni accumulati”.

Ma poco dopo, due adolescenti del Regno Unito sono stati accusati di attacchi alle infrastrutture di Transport for London e gli investigatori americani e britannici li hanno collegati al gruppo Scattered Spider. Un altro adolescente si è consegnato alla polizia di Las Vegas il 17 settembre: è sospettato di aver partecipato a una serie di attacchi ai casinò nel 2023, attribuiti anch’essi allo stesso gruppo .

In risposta alle richieste dei giornalisti, i rappresentanti del nuovo gruppo SLH/SLSH Press Newsroom hanno rifiutato di fornire dettagli, confermando solo che la decisione di riprendere l’attività era “collegata ai recenti arresti”. Non hanno commentato la struttura del gruppo né l’origine dei dati trapelati.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.
Aree di competenza: