Ultimátum de nueve ceros: Salesforce tiene pocos días para decidir el destino de casi mil millones de registros
Los hackers se llevaron millones, pero volvieron por mil millones.
Un grupo que se hace llamar Scattered LAPSUS$ Hunters volvió a aparecer tras meses de silencio y arrestos de sus integrantes. En un nuevo sitio de filtraciones, los atacantes publicaron una lista de alrededor de 40 entornos corporativos de Salesforce y exigieron un pago de casi mil millones de dólares — 989,45 millones de dólares — a cambio de no divulgar los datos que, según los extorsionadores, incluyen alrededor de mil millones de registros de clientes. El ultimátum vence el 10 de octubre: si Salesforce no inicia negociaciones, los delincuentes amenazan con publicar todo lo robado.
Un portavoz de Salesforce informó al medio The Register que la empresa está al tanto de los intentos de extorsión y que ha investigado el asunto junto con expertos externos y las fuerzas del orden. En un comunicado oficial se indicó que los incidentes están relacionados con casos ya conocidos o no confirmados, y no se han encontrado indicios de compromiso de la infraestructura de Salesforce. La compañía enfatizó que el ataque no está relacionado con vulnerabilidades en sus tecnologías y que brinda apoyo a los clientes afectados.
Sin embargo, la situación tiene sus raíces en hechos de agosto. Entonces se supo que los atacantes usaron tokens OAuth a través de la integración de Drift en Salesloft, lo que les permitió acceder a numerosas instancias de Salesforce. Cloudflare informó que resultaron afectadas «cientos de organizaciones» y que, en algunos casos, se sustrajo información de clientes. La investigación de estos incidentes fue encargada al equipo de Mandiant, contratado por Salesloft, y el Google Threat Intelligence Group más tarde confirmó la magnitud de los abusos. Antes del lanzamiento del actual sitio de filtraciones, Google y Salesforce advirtieron a las empresas que podrían verse afectadas.
En su informe de agosto sobre intrusiones en entornos de Salesforce, Google señaló que el grupo ShinyHunters estaba implicado en los incidentes y predijo la aparición de un sitio de filtraciones. Entonces, los analistas de la compañía también indicaron que la nueva ola de publicaciones probablemente buscaba aumentar la presión sobre las víctimas vinculadas con los recientes ataques de UNC6040. Ese mismo día apareció en Telegram un canal llamado Scattered LAPSUS$ Hunters, donde Scattered Spider, ShinyHunters y Lapsus$ anunciaron su colaboración. Sin embargo, el canal solo permaneció activo unos días y fue eliminado a comienzos de la semana siguiente.
A mediados de septiembre, representantes de Scattered Spider y Lapsus$ declararon públicamente que se retiraban de la actividad activa con la intención de «disfrutar de los millones acumulados». Pero poco después, dos adolescentes del Reino Unido fueron acusados de ataques contra la infraestructura de Transport for London, y los investigadores estadounidenses y británicos los vincularon al grupo Scattered Spider. Otro adolescente se entregó a la policía de Las Vegas el 17 de septiembre; se le sospecha de participar en una serie de ataques contra casinos en 2023, también atribuidos a ese mismo grupo.
Ante preguntas de periodistas, los representantes de la nueva agrupación SLH/SLSH Press Newsroom se negaron a comentar detalles, confirmando solo que la decisión de reanudar la actividad «está relacionada con los recientes arrestos». No ofrecieron comentarios sobre la estructura del grupo ni sobre el origen de los datos filtrados.
¿Estás cansado de que Internet sepa todo sobre ti?