既知のハッカーグループのメンバーで構成されているとされる脅威アクターが、数十社のSalesforce顧客から大量のデータを盗んだと主張しています。
自らを「Scattered LAPSUS$ Hunters」と名乗るこの不正集団は、悪名高いLapsus$、Scattered Spider、ShinyHuntersグループのメンバーであるようです。
Lapsus$は2022年以降活動を停止しており、その後Scattered Spiderが登場しました。ShinyHuntersは2020年に初めて現れ、今年初めにScattered Spiderと手を組みました。彼らは先月、共同で引退を発表しています。
新たなTorベースのリークサイト上で、Scattered LAPSUS$ Huntersは最近のSalesforceキャンペーンで標的となった39の組織を掲載し、Salesforceインスタンスからデータを盗み出したと主張、CRMプロバイダーが身代金を支払わなければそのデータを公開すると脅迫しています。
リストには、Adidas、エールフランス/KLM、Allianz Life、Cisco、Dior、Disney、FedEx、Google、Home Depot、Kering、Louis Vuitton、Qantas、Stellantis、Toyota、TransUnion、UPS、Workdayなどの有名ブランドが含まれています。
ハッカーたちは、影響を受けた組織のSalesforceインスタンスから合計約10億件の記録を盗んだと主張しており、DataBreachesに対し、他にも被害を受けた企業があるが、サイトには掲載していないと語っています。
Salesforceは自社ウェブサイトの通知で、自社プラットフォームがハッキングされた形跡はなく、グループの主張はプラットフォームの脆弱性とは関係がないようだと述べています。
「私たちは脅威アクターによる最近の恐喝の試みに気づいており、外部の専門家や当局と協力して調査を行いました。その結果、これらの試みは過去の、または裏付けのない事象に関連していることが判明しており、影響を受けた顧客へのサポートを継続しています」とSalesforceは述べています。
AppOmniの共同創業者兼CTOであるBrian Soby氏が指摘するように、Scattered SpiderとShinyHuntersの「引退」は短命に終わり、現在グループは被害組織だけでなくSalesforce自体にも恐喝を試みています。
「彼らは、Salesforceが直接支払いをしない限り、最近の侵害に関する進行中の訴訟の原告と協力すると主張しています」とSoby氏は述べています。
「この手法は異例です。当社の知る限り、攻撃者が恐喝キャンペーンの一環として、侵害されたプラットフォームのベンダーおよびそのネイティブセキュリティツールに対する既存の訴訟に参加または利用すると脅したのは初めてです」と同氏は付け加えました。
Soby氏はまた、ハッカーたちはソーシャルエンジニアリングや盗まれた認証情報を使ってSalesforceインスタンスに侵入した可能性が高く、多くの組織が共有責任の義務を効果的に果たすために必要なツールや実践を導入していないことを示していると指摘しています。
「ここで新しいのは、顧客だけでなく、ベンダーおよびそのネイティブなファーストパーティのセキュリティツールに対しても、過失を主張しようとしている点です」とSoby氏は付け加えました。
