恐喝グループが、新たなデータ漏洩サイトを立ち上げ、Salesforceの一連の侵害によって影響を受けた数十社を公然と恐喝し、攻撃で盗まれたデータのサンプルを公開しています。
これらの攻撃を行っている脅威アクターは、自らをShinyHunters、Scattered Spider、Lapsus$のグループの一員だと主張し、総称して「Scattered Lapsus$ Hunters」と名乗っています。
本日、彼らは攻撃の影響を受けた39社を掲載した新たなデータ漏洩サイトを公開しました。各エントリーには、被害者のSalesforceインスタンスから盗まれたとされるデータのサンプルが含まれており、被害者に対して「10月10日の期限までに連絡しなければデータが公開される」と警告しています。
データ漏洩サイトで恐喝されている企業には、FedEx、Disney/Hulu、Home Depot、Marriott、Google、Cisco、Toyota、Gap、McDonald’s、Walgreens、Instacart、Cartier、Adidas、Sake Fifth Avenue、Air France & KLM、Transunion、HBO MAX、UPS、Chanel、IKEAなどの有名ブランドや組織が含まれています。
「正しい判断を下すことを強くお勧めします。貴社はこのデータの公開を防ぎ、状況を再びコントロールし、すべての業務をこれまで通り安定させることができます」と彼らは述べています。「意思決定者が関与することを強く推奨します。私たちはこの問題を解決するための明確で相互に有益な機会を提示しています。」
また、Salesforceに対しても、影響を受けたすべての顧客データ(約10億件の個人情報を含む)の漏洩を防ぐために身代金を支払うよう、別途要求しています。
「もし従えば、貴社の顧客ごとに行っている現在進行中または保留中の交渉から撤退します。貴社の顧客は再び攻撃されたり、私たちから再度身代金を要求されることはありません」と彼らは付け加えています。
この恐喝グループはさらに、データ漏洩後にSalesforceに対して民事および商業訴訟を起こすために法律事務所を支援すると脅し、同社が欧州一般データ保護規則(GDPR)で求められる顧客データの保護にも失敗したと警告しました。
Scattered Lapsus$ Huntersは、今年初めからSalesforceの顧客をボイスフィッシング攻撃で標的にしており、Google、Cisco、Qantas、Adidas、Allianz Life、Farmers Insurance、Workday、LVMH傘下のDior、Louis Vuitton、Tiffany & Coなどの企業に影響を与える侵害を引き起こしています。
これらの攻撃では、脅威アクターが従業員を騙して悪意のあるOAuthアプリを自社のSalesforceインスタンスに連携させました。一度接続されると、攻撃者は企業のデータベースを盗み、メールで被害者を恐喝しました。
これらの恐喝メールは、近年多くの大規模な侵害(Snowflake攻撃やAT&T、PowerSchoolへの攻撃など)に関与してきた悪名高い恐喝グループShinyHuntersによって署名されていました。
ShinyHuntersはまた、SalesloftのDrift AIチャット統合で盗まれたOAuthトークンを使用し、顧客のSalesforceインスタンスからパスワード、AWSアクセスキー、Snowflakeトークンなどの機密情報を盗んだと主張しています。
これらの攻撃は、Mandiantによって「UNC6395」と名付けられた別の脅威クラスターとして追跡されていますが、正式にこのグループと関連付けることはできていません。
恐喝グループに関連するTelegramチャンネルでは、脅威アクターがSalesloft Drift攻撃の影響を受けた企業を、10月10日に開設される別のデータ漏洩サイトで恐喝し始めると主張しています。
ShinyHuntersは以前、BleepingComputerに対し、Salesloftのデータ窃盗攻撃は約760社に影響を与え、15億件のSalesforceレコードが盗まれたと語っています。
Salesloft攻撃の影響を受けたことが判明しているのは、Google、Palo Alto Networks、CyberArk、Cloudflare、Rubrik、Elastic、BeyondTrust、Proofpoint、JFrog、Zscaler、Tenable、Nutanix、Qualys、Cato Networks、その他多数です。
