El grupo de amenaza Scattered Lapsus$ Hunters publicó un sitio de filtración con datos de unas de 39 grandes empresas, exigiendo a Salesforce pagar un rescate antes del 10 de octubre. La compañía asegura que su plataforma no fue comprometida y que se trata de incidentes previos o no verificados.
Una nueva ola de extorsiones ha puesto en alerta a decenas de grupos empresariales de alcance global tras la publicación de un sitio de filtración de datos presuntamente robados de instancias de Salesforce. El grupo detrás de la amenaza, que afirma reunir a miembros de los colectivos ShinyHunters, Scattered Spider y Lapsus$, y que se identificó como “Scattered Lapsus$ Hunters”, asegura poseer información sensible de 39 empresas, entre ellas FedEx, Disney, Google, Cisco, Marriott, Toyota, HBO Max, Adidas, y Chanel.
De acuerdo con reportes de medios especializados de ciberseguridad, en el portal de los atacantes se exhiben muestras de la información robada e instan a las organizaciones afectadas a “contactarse antes del 10 de octubre para evitar la divulgación pública de sus datos”. Además, exigen que Salesforce pague un rescate para impedir la exposición de los registros de todos sus clientes, cifra que -según afirman- alcanzaría aproximadamente mil millones de registros con información personal.
“Todos fueron contactados hace tiempo. La mayoría decidió ignorar el asunto”, declaró al medio de noticias de ciberseguridad BleepingComputer un miembro del grupo ShinyHunters. En su mensaje, los ciberdelincuentes advierten que las empresas aún pueden “retomar el control de la situación” si cooperan.
Desde Salesforce, sin embargo, niegan que se haya vulnerado su infraestructura. En un comunicado publicado recientemente, la compañía señaló que “no hay indicios de que la plataforma haya sido comprometida, ni de que exista alguna vulnerabilidad en nuestra tecnología”, y añaden que según sus hallazgos estos intentos “se relacionan con incidentes pasados o no verificados” y que la empresa “permanece en contacto con los clientes afectados para brindar apoyo”.
La empresa también reiteró que las campañas observadas dependen de ingeniería social y no de fallas técnicas. Según expertos de Google citados por Salesforce, los atacantes se hacen pasar por personal de soporte técnico para engañar a empleados y obtener acceso a los sistemas mediante aplicaciones OAuth maliciosas. Esta técnica ha permitido comprometer datos de corporaciones como Google, Cisco, Qantas, Adidas y LVMH, entre otras.
Mientras tanto, Salesforce insistió en llamar a la tranquilidad, indicando que “sabemos lo preocupante que pueden ser estas situaciones. Proteger los entornos y datos de nuestros clientes sigue siendo nuestra máxima prioridad”. No obstante, crece la incertidumbre por la fecha límite impuesta por los atacantes, la cual vence este viernes 10 de octubre, lo que mantiene a las empresas bajo presión y a la industria tecnológica en estado de alerta.