Salesforce потвърди, че няма да преговаря или плаща откуп на киберпрестъпниците, стоящи зад серията масови кражби на данни, засегнали клиентите на компанията през тази година.
Както първо съобщи Bloomberg, Salesforce изпрати имейл до своите клиенти, в който заявява, че няма да плаща откуп, като предупреждава, че „достоверната информация за заплахите“ сочи, че извършителите планират да разкрият откраднатите данни.

Групата извършители и целевите компании

Това изявление идва след пускането на сайт за изтичане на данни от група, известна като „Scattered Lapsus$ Hunters“, която се опитва да изнудва 39 компании, чиито данни са били откраднати от Salesforce.
Сайтът е разположен на домейна breachforums[.]hn, свързан с известния форум за киберпрестъпления BreachForums, известен с търговията и изтичането на откраднати данни.

Сред компаниите, изнудвани чрез сайта, са големи марки като FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, Kering, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France & KLM, TransUnion, HBO MAX, UPS, Chanel и IKEA.

Обхватът на кражбите

Според твърденията на извършителите са откраднати близо 1 милиард записа с данни, които биха били публикувани, ако изнудваните компании не платят откуп – индивидуално или чрез еднократна сума към Salesforce, покриваща всички засегнати клиенти.

Първата кампания – социално инженерство

Първата кампания започва в края на 2024 г., когато киберпрестъпниците използват социално инженерство, представяйки се за ИТ персонал, за да убедят служители да свържат злонамерено OAuth приложение със Salesforce инстанцията на компанията.
След като връзката е установена, извършителите изтеглят и открадват бази данни, използвайки ги за изнудване чрез имейли.

Засегнати компании включват Google, Cisco, Qantas, Adidas, Allianz Life, Farmers Insurance, Workday и дъщерни дружества на Kering и LVMH, като Dior, Louis Vuitton и Tiffany & Co.

Втората кампания – атаки чрез SalesLoft

Втората кампания започва през август 2025 г., когато киберпрестъпниците използват откраднати OAuth токени от SalesLoft Drift, за да проникнат в CRM системите на клиентите и да извлекат чувствителни данни.
Основната цел са заявки за поддръжка, с цел събиране на идентификационни данни, API токени, автентикационни токени и друга информация, която би позволила компрометиране на инфраструктурата и облачните услуги на засегнатите компании.

Засегнати компании и реакция на изнудването

Един от извършителите, известен като ShinyHunters, заяви, че по време на кампанията са откраднати около 1,5 милиарда записа с данни от над 760 компании.
Сред потвърдилите засегнатостта си компании са Google, Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks и Palo Alto Networks.

Закриване на сайта за изтичане на данни

Сайтът за изтичане на данни бе използван основно за изнудване на клиентите, засегнати от първите социално инженерни атаки. Извършителите заявиха, че ще започнат публично изнудване на засегнатите от атаките чрез SalesLoft след 10 октомври.
Въпреки това сайтът вече е затворен, а домейнът използва nameserver-и на Cloudflare, които в миналото са били използвани от ФБР при изземване на домейни.