Un gruppo che si autodefinisce Scattered LAPSUS$ Hunters è ricomparso dopo mesi di silenzio e l’arresto dei suoi membri. Su un nuovo sito di fuga di notizie, gli aggressori hanno pubblicato un elenco di circa 40 ambienti aziendali Salesforce e hanno chiesto un pagamento di quasi un miliardo di dollari – 989,45 milioni di dollari – in cambio della non divulgazione dei dati, che, secondo gli estorsori, includono circa un miliardo di record di clienti. Hanno fissato un ultimatum per il 10 ottobre: se Salesforce non riuscirà a negoziare, i criminali minacciano di pubblicare tutto ciò che hanno rubato.

Un rappresentante di Salesforce ha dichiarato a The Register che l’azienda era a conoscenza dei tentativi di estorsione e aveva condotto un’indagine in collaborazione con esperti esterni e forze dell’ordine. La nota ufficiale affermava che gli incidenti erano correlati a casi precedentemente noti o non confermati e che non erano stati riscontrati segni di compromissione dell’infrastruttura di Salesforce. L’azienda ha sottolineato che l’attacco non era correlato ad alcuna vulnerabilità nella sua tecnologia e che i clienti interessati stanno ricevendo supporto.

Tuttavia, la situazione affonda le sue radici in eventi accaduti ad agosto. Si è scoperto che gli aggressori avevano utilizzato token OAuth tramite l’integrazione Drift di Salesloft , consentendo loro di accedere a più istanze di Salesforce.

Cloudflare ha segnalato che “centinaia di organizzazioni” sono state colpite, con il furto di informazioni sui clienti in alcuni casi. Il team di Mandiant, incaricato da Salesloft, è stato incaricato di indagare su questi incidenti e il Google Threat Intelligence Group ha successivamente confermato l’entità della violazione. Prima di lanciare l’attuale sito di fuga di notizie, Google e Salesforce hanno inviato avvisi alle aziende potenzialmente interessate.

Nel suo rapporto di agosto sulle intrusioni in Salesforce, Google ha evidenziato il coinvolgimento del gruppo ShinyHuntersnegli incidenti e ha previsto la comparsa di un sito di fuga di notizie. All’epoca, gli analisti dell’azienda hanno anche osservato che la nuova ondata di pubblicazioni mirava probabilmente ad aumentare la pressione sulle vittime associate ai recenti attacchi UNC6040. Lo stesso giorno, è apparso un canale Telegram chiamato Scattered LAPSUS$ Hunters, con Scattered Spider, ShinyHunters e Lapsus$ che dichiaravano la loro collaborazione. Tuttavia, il canale è durato solo pochi giorni ed è stato chiuso all’inizio della settimana successiva.

A metà settembre, i rappresentanti di Scattered Spider e Lapsus$ hanno annunciato pubblicamente il loro ritiro dalle attività, con l’intenzione di “godersi i milioni accumulati”.

Ma poco dopo, due adolescenti del Regno Unito sono stati accusati di attacchi alle infrastrutture di Transport for London e gli investigatori americani e britannici li hanno collegati al gruppo Scattered Spider. Un altro adolescente si è consegnato alla polizia di Las Vegas il 17 settembre: è sospettato di aver partecipato a una serie di attacchi ai casinò nel 2023, attribuiti anch’essi allo stesso gruppo .

In risposta alle richieste dei giornalisti, i rappresentanti del nuovo gruppo SLH/SLSH Press Newsroom hanno rifiutato di fornire dettagli, confermando solo che la decisione di riprendere l’attività era “collegata ai recenti arresti”. Non hanno commentato la struttura del gruppo né l’origine dei dati trapelati.

L'articolo Ritorna il gruppo Scattered LAPSUS$ Hunters e minaccia di divulgare i dati di Salesforce proviene da il blog della sicurezza informatica.