«Bombardeenlos con mensajes»: esquema de extorsión sin precedentes de Scattered Lapsus$ Hunters
Delincuentes lograron convertir a sus seguidores en una turba de "cobradores".
El grupo Scattered Lapsus$ Hunters volvió a darse a conocer — esta vez con un esquema nuevo y bastante inusual de presión sobre las víctimas. Los ciberdelincuentes prometieron una recompensa de 10 dólares en criptomoneda a cada persona que aceptara participar en el envío masivo de correos electrónicos dirigido a los directivos de las empresas que fueron víctimas del ataque de extorsión. La tarea de los participantes es convencer a los altos directivos de colaborar con los extorsionadores, es decir, de pagar el rescate.
En el canal de Telegram, la agrupación difundió instrucciones detalladas con una lista de destinatarios, entre los que figuran los directivos de 39 empresas cuyos datos, según se afirma, fueron comprometidos. Se hizo hincapié en que los correos enviados desde buzones personales serán valorados más alto, y por los intentos especialmente diligentes se ofrecen sumas superiores.
La esencia del esquema es delegar la extorsión a una audiencia leal, al tiempo que se incrementa la presión sobre las empresas afectadas. Los propios organizadores aseguran que, al recibir la orden de cesar los ataques, los "voluntarios" deben detenerse de inmediato. El enfoque se explica por la magnitud de la filtración: la lista de afectados resultó demasiado extensa para que el grupo la gestionara manualmente.
Además, los hackers alegan que los datos fueron obtenidos mediante la compromisión de la plataforma Salesforce, y que si no se recibe el pago antes del 10 de octubre, comenzará una presión puntual sobre cada cliente por separado. Se insta a los participantes a no confiar en la protección del proveedor de soluciones SaaS y a contactar directamente con los ciberdelincuentes.
Sin embargo, la propia Salesforce negó la compromisión de la plataforma, citando una investigación interna y la ausencia de indicios de intrusión. Los representantes de la empresa afirmaron que los datos publicados en internet podrían estar relacionados o bien con incidentes anteriores, o con información no verificada.
No obstante, en Google confirmaron que el ataque sí tuvo lugar y que se produjo a través de Salesloft Drift —una integración de Salesforce donde se comprometieron tokens OAuth. Esta brecha permitió a los delincuentes acceder a los entornos CRM de los clientes. Las empresas potencialmente afectadas fueron notificadas sobre la posible filtración incluso antes del lanzamiento del sitio con la publicación de los datos.
Así, a pesar del cierre de los canales de Telegram de Scattered Lapsus$ Hunters y de las detenciones de presuntos integrantes de la agrupación en el Reino Unido y Estados Unidos, su actividad continúa.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla