След като миналия месец обявиха „сбогом“, киберизнудвачите от групата Scattered Lapsus$ Hunters се завърнаха с нов уебсайт в Dark Web, съдържащ откраднати данни от Salesforce и списък с десетки предполагаеми жертви.

Състав на групата и история

Scattered Lapsus$ Hunters представлява обединение на Scattered Spider, Lapsus$ и ShinyHunters, които първо се появиха през лятото в публичен Telegram канал. Няколко седмици по-късно те публикуваха прощално съобщение, заявявайки, че трите групи и други участници са „решили да изчезнат“.

Въпреки това, тази седмица групата се завърна с Dark Web сайт, посветен на кражбите на данни от Salesforce. Една от кампаниите е свързана с групата, проследена от Google като UNC6040, която се представя за ShinyHunters в опитите си за изнудване.

Методология на атаките

• UNC6040 използва vishing обаждания, за да убеди IT персонала да предостави достъп или креденшъли за Salesforce средата.

• Атакуващите се представят като трета страна доставчик и са таргетирали потребители с повишен достъп и до други SaaS приложения.

• На сайта си групата твърди, че разполага с приблизително 1 милиард записа и 39 организации-жертви, с пробни данни за демонстрация.

Сайтът обявява краен срок 10 октомври, след който заплашва да публикува цялата открадната информация, ако изискванията им не бъдат изпълнени.

Реакция на Salesforce

Salesforce излезе с официално изявление, че:

• Няма индикации за компрометиране на самата платформа.

• Изнудването е свързано с преди това или недоказани инциденти.

• Компанията продължава да подкрепя засегнатите клиенти.

Потенциални жертви и щети

• Сред 39-те изброени организации има известни марки, които не са съобщавали за пробиви преди това, както и такива с вече известни инциденти, като Chanel и Qantas Airways.

• Групата твърди, че данните включват лични идентификационни данни (PII) – социални номера, шофьорски книжки, дати на раждане.

• Заявено е и сътрудничество с юридически фирми и регулаторни органи, които биха могли да предприемат действия срещу Salesforce.

Втора кампания: UNC6395 и Salesloft Drift

• UNC6395 използва откраднати OAuth токени от Salesloft Drift за достъп до Salesforce среди на клиенти.

• Засегнати са множество технологични компании: Palo Alto Networks, Zscaler, Cloudflare, Proofpoint, Qualys, Tenable, Bugcrowd.

• Анализатори подчертават, че кооперацията между Scattered Spider, Lapsus$ и ShinyHunters вероятно е организирана, с разделение на роли: първоначален достъп, кражба на данни и изнудване.

Препоръки за защита

Според Mandiant организациите трябва да:

• Бъдят нащрек за социално инженерство.

• Внедрят допълнителни нива на проверка при обаждания към IT help desk – както за вътрешни служители, така и за трети страни.

• Подсилят OAuth и 2FA политики, за да ограничат риска от неоторизиран достъп.