Een cyberbende die eerder aankondigde te stoppen, is opnieuw opgedoken met een enorme afpersingsdreiging gericht op Salesforce.
De groep, die zichzelf nu Scattered LAPSUS$ Hunters noemt, beweert toegang te hebben tot gegevens van zo’n veertig bedrijven die het CRM-platform gebruiken. Ze eisen volgens The Register 989 miljoen dollar om te voorkomen dat ongeveer een miljard klantrecords online verschijnen. De groep gaf Salesforce tot 10 oktober om te onderhandelen over betaling.
Salesforce zegt geen aanwijzingen te hebben dat het eigen platform is gehackt. Volgens het bedrijf zijn de dreigementen gebaseerd op eerdere of onbevestigde incidenten. Het werkt samen met externe specialisten en autoriteiten en ondersteunt mogelijk getroffen klanten.
Telefonische social-engineeringaanvallen
De hernieuwde dreiging lijkt verband te houden met de groep UNC6040, die gespecialiseerd is in telefonische social-engineeringaanvallen, oftewel vishing. Daarbij doen criminelen zich voor als IT-medewerkers om gebruikers te overtuigen een kwaadaardige applicatie te autoriseren binnen Salesforce. Zo krijgen ze toegang tot gevoelige klantinformatie zonder gebruik te maken van een technische kwetsbaarheid.
Volgens Google Threat Intelligence Group (GTIG) werd in juni ook een interne Salesforce-omgeving van Google getroffen door een soortgelijke aanval. De inbreuk betrof enkel basisinformatie over kleine en middelgrote bedrijven en werd snel afgesloten. GTIG stelt dat UNC6040 inmiddels eigen Python-apps gebruikt om via de Salesforce-API data te exporteren zodra een slachtoffer toestemming geeft. De groep maakt gebruik van VPN-diensten en het TOR-netwerk om herkomst te verbergen.
GTIG beschrijft daarnaast een tweede groep, UNC6240, die maanden na de oorspronkelijke inbraak slachtoffers benadert voor losgeld. Deze groep beweert onderdeel te zijn van ShinyHunters, vermoedelijk om extra druk uit te oefenen. Google waarschuwde in augustus al dat ShinyHunters werkte aan een dataleksite, wat nu lijkt te zijn gebeurd met Scattered LAPSUS$ Hunters.
De tactieken van deze groepen vertonen gelijkenissen met collectieven zoals Lapsus$ en Scattered Spider, die worden gelinkt aan het bredere netwerk “The Com”. Onderzoekers denken dat de overlap eerder wijst op gedeelde kennis dan op directe samenwerking.
Zowel Google als Salesforce benadrukken dat organisaties hun beveiliging moeten aanscherpen. Aanbevolen maatregelen zijn beperkte rechten voor Data Loader-gebruik, strikte controle van connected apps, IP-gebaseerde toegangsrestricties en verplichte multi-factorauthenticatie. De terugkeer van Scattered LAPSUS$ Hunters toont aan dat financieel gemotiveerde cybergroepen, ondanks arrestaties en eerdere beloften om te stoppen, nog lang niet zijn verdwenen