Grupa tvrdi da je ukrala ogromnu količinu podataka iz Salesforce naloga brojnih kompanija, dok iz Salesforce-a poručuju da se pokušaji ucjene odnose na stare ili nepotvrđene incidente, a ne na nove upade.
Grupa koja sebe naziva Scattered LAPSUS$ Hunters, za koju se vjeruje da je sastavljena od članova poznatih hakerskih kolektiva Lapsus$, Scattered Spider i ShinyHunters, preuzela je odgovornost za krađu podataka od desetina Salesforce korisnika.
Lapsus$ je neaktivan od 2022. godine, kada se pojavio Scattered Spider, dok su ShinyHunters, aktivni od 2020, ranije ove godine udružili snage sa Scattered Spider grupom. Dva kolektiva su prošlog mjeseca zajednički najavila „penzionisanje“, koje očigledno nije dugo trajalo.
Na novom sajtu na dark webu (Tor mreži), Scattered LAPSUS$ Hunters su objavili listu od 39 organizacija pogođenih njihovom novom kampanjom, tvrdeći da su ukrali podatke iz njihovih Salesforce instanci i zaprijetivši da će ih objaviti ukoliko Salesforce ne plati otkup.
Na listi se nalaze poznati brendovi kao što su Adidas, Air France/KLM, Allianz Life, Cisco, Dior, Disney, FedEx, Google, Home Depot, Kering, Louis Vuitton, Qantas, Stellantis, Toyota, TransUnion, UPS i Workday.
Hakeri tvrde da su iz Salesforce sistema ovih kompanija ukrali oko milijardu zapisa, te navode da su pogođeni i drugi biznisi koji nisu javno navedeni.
Salesforce je na svom zvaničnom sajtu saopštio da nema nikakve indikacije da je njihova platforma kompromitovana i da tvrdnje napadača nisu povezane sa bilo kakvim ranjivostima u njihovom sistemu.
„Svjesni smo nedavnih pokušaja ucjene od strane hakera, koje smo istražili u saradnji sa eksternim stručnjacima i nadležnim organima. Naša otkrića pokazuju da se ovi pokušaji odnose na stare ili nepotvrđene incidente, a ostajemo u kontaktu sa pogođenim klijentima radi pružanja podrške“, navodi se u izjavi Salesforce-a.
Kako ističe Brian Soby, suosnivač i CTO kompanije AppOmni, Scattered Spider i ShinyHunters su se brzo vratili na scenu, ovoga puta ne samo da ucjenjuju pogođene organizacije, već i sam Salesforce.
„Tvrde da će sarađivati sa tužiocima u postojećim sudskim procesima protiv Salesforce-a zbog nedavnih incidenata, ukoliko im kompanija direktno ne plati“, kazao je Soby.
„Ova taktika je neuobičajena. Koliko nam je poznato, ovo je prvi put da napadači prijete da će učestvovati u ili iskoristiti postojeće tužbe protiv dobavljača kompromitovane platforme i njegovih bezbjednosnih alata kao dio kampanje ucjene“, dodao je on.
Soby je takođe napomenuo da su hakeri najvjerovatnije kompromitovali Salesforce instance koristeći socijalni inženjering i ukradene akreditive, što ukazuje da mnoge organizacije nisu primijenile adekvatne mjere i alate da bi ispunile obaveze koje proističu iz principa zajedničke odgovornosti (Shared Responsibility).
„Ono što je novo u ovom slučaju jeste pokušaj da se navodna nepažnja predstavi ne samo kao greška klijenata, već i samog dobavljača i njegovih internih bezbjednosnih rješenja“, zaključio je Soby.
Izvor: SecurityWeek
