Хакерская группа заявила о краже 1 миллиарда записей из клиентских баз данных Salesforce

Известная преимущественно англоязычная хакерская группа запустила веб-сайт с целью вымогательства у своих жертв, угрожая опубликовать около миллиарда записей, украденных у компаний, которые хранят данные своих клиентов в облачных базах данных, размещенных Salesforce.

Слабо организованная группа, известная как Lapsus$, Scattered Spider и ShinyHunters, создала в даркнете специальный сайт для утечки данных под названием Scattered LAPSUS$ Hunters.

Целью веб-сайта, впервые обнаруженного исследователями по анализу угроз в пятницу и просмотренного TechCrunch, является оказание давления на жертв с целью заставить их заплатить хакерам, чтобы избежать публикации их украденных данных в интернете.

«Свяжитесь с нами, чтобы восстановить контроль над управлением данными и предотвратить публичное раскрытие ваших данных», — говорится на сайте. «Не попадайте в заголовки новостей. Все сообщения требуют строгой проверки и будут рассматриваться с осторожностью».

За последние несколько недель банда ShinyHunters предположительно взломала десятки известных компаний, проникнув в их облачные базы данных, размещенные на платформе Salesforce.

Страховой гигант Allianz Life, Google, модный конгломерат Kering, авиакомпания Qantas, автопроизводственный гигант Stellantis, кредитное бюро TransUnion и платформа управления персоналом Workday, а также ряд других подтвердили, что их данные были украдены в результате этих массовых взломов.

На сайте хакерской утечки перечислены несколько предполагаемых жертв, среди которых FedEx, Hulu (принадлежит Disney) и Toyota Motors, однако ни одна из них не ответила на просьбу прокомментировать ситуацию в пятницу.

Неясно, заплатили ли компании, данные которых были взломаны, но не указаны на сайте хакерской группы, где они были обнаружены, выкуп хакерам, чтобы предотвратить публикацию их данных. Представитель ShinyHunters, с которым связался TechCrunch, заявил: «Есть множество других компаний, которые не были указаны», но отказался объяснить причину.

В верхней части сайта хакеры упоминают Salesforce и требуют, чтобы компания договорилась о выкупе, угрожая, что в противном случае «все данные ваших клиентов [sic] будут украдены». Тон сообщения предполагает, что Salesforce пока не вступала в контакт с хакерами.

Представитель Salesforce Николь Аранда предоставила ссылку на заявление компании, в котором отмечается, что компания «осведомлена о недавних попытках вымогательства со стороны злоумышленников».

«Наши данные указывают на то, что эти попытки связаны с прошлыми или неподтверждёнными инцидентами, и мы продолжаем взаимодействовать с пострадавшими клиентами, чтобы оказывать им поддержку», — говорится в заявлении. «На данный момент нет никаких признаков того, что платформа Salesforce была скомпрометирована, и эта активность не связана с какой-либо известной уязвимостью в наших технологиях».

Аранда отказалась от дальнейших комментариев.

В течение нескольких недель специалисты по безопасности предполагали, что группировка, которая исторически избегала публичного присутствия в Интернете, планировала опубликовать веб-сайт для утечки данных, чтобы вымогать деньги у своих жертв.

Традиционно подобные веб-сайты ассоциировались с зарубежными, часто русскоязычными, группировками, занимающимися вирусами-вымогателями. За последние несколько лет эти организованные киберпреступные группы перешли от кражи и шифрования данных жертв с последующим частным требованием выкупа к простой угрозе опубликовать украденные данные в интернете, если им не заплатят.

Обновлено с учетом комментариев ShinyHunters и Salesforce.

Источник: techcrunch.com