- Регистрация
- 01.08.25
- Сообщения
- 1,073
- Реакции
- 626
Группировка, называющая себя Scattered LAPSUS$ Hunters, вновь дала о себе знать после нескольких месяцев тишины и арестов участников. На новом сайте утечек злоумышленники опубликовали перечень около 40 корпоративных окружений Salesforce и потребовали выплату почти $989,45 млн в обмен на сохранение конфиденциальности данных. По заявлениям вымогателей, в их распоряжении находится порядка миллиарда клиентских записей. Крайний срок ультиматума установлен до 10 октября — если компания не начнёт переговоры, преступники обещают выложить украденную информацию в открытый доступ.
Представитель Salesforce сообщил изданию The Register, что компания осведомлена о попытках вымогательства и уже провела расследование совместно с внешними экспертами и правоохранительными органами. В официальном заявлении отмечено, что инциденты связаны с ранее известными или неподтверждёнными случаями, а признаков компрометации инфраструктуры Salesforce не обнаружено. Компания подчеркнула, что атака не связана с уязвимостями её продуктов, и заверила, что оказывает поддержку пострадавшим клиентам.
Истоки нынешней ситуации уходят в события августа, когда выяснилось, что злоумышленники использовали OAuth-токены, полученные через интеграцию Drift в Salesloft. Это позволило им получить доступ к множеству экземпляров Salesforce. По данным Cloudflare, от атаки пострадали сотни организаций, и в некоторых случаях злоумышленники действительно похитили клиентские данные. Расследование этих инцидентов поручено специалистам Mandiant, привлечённым компанией Salesloft. Позднее Google Threat Intelligence Group подтвердила масштаб злоупотреблений. Перед запуском нового сайта утечек Google и Salesforce предупредили потенциально пострадавшие компании.
В августовском отчёте Google отмечалось, что к инцидентам может быть причастна группировка ShinyHunters, и предполагалось скорое появление сайта утечки. Аналитики тогда указывали, что новая волна публикаций направлена на усиление давления на компании, пострадавшие в результате атак UNC6040. В тот же день в Telegram появился канал Scattered LAPSUS$ Hunters, где группировки Scattered Spider, ShinyHunters и Lapsus$ объявили о сотрудничестве. Однако канал просуществовал недолго и был удалён через несколько дней.
К середине сентября представители Scattered Spider и Lapsus$ заявили об уходе из активной деятельности, намереваясь «наслаждаться накопленными средствами». Вскоре после этого два подростка из Великобритании были обвинены в кибератаках на инфраструктуру Transport for London. Следователи из США и Великобритании связали их с группировкой Scattered Spider. Ещё один подозреваемый — подросток из Лас-Вегаса — сдался полиции 17 сентября. Его считают участником атак на казино в 2023 году, также приписываемых этой же группе.
На запрос журналистов представители объединения SLH/SLSH Press Newsroom отказались раскрывать детали, заявив лишь, что решение о возобновлении деятельности связано с недавними арестами. Комментариев о внутренней структуре организации и происхождении похищенных данных предоставлено не было.
Для просмотра ссылки Войдиили ЗарегистрируйсяДля просмотра ссылки Войди или Зарегистрируйся
Представитель Salesforce сообщил изданию The Register, что компания осведомлена о попытках вымогательства и уже провела расследование совместно с внешними экспертами и правоохранительными органами. В официальном заявлении отмечено, что инциденты связаны с ранее известными или неподтверждёнными случаями, а признаков компрометации инфраструктуры Salesforce не обнаружено. Компания подчеркнула, что атака не связана с уязвимостями её продуктов, и заверила, что оказывает поддержку пострадавшим клиентам.
Истоки нынешней ситуации уходят в события августа, когда выяснилось, что злоумышленники использовали OAuth-токены, полученные через интеграцию Drift в Salesloft. Это позволило им получить доступ к множеству экземпляров Salesforce. По данным Cloudflare, от атаки пострадали сотни организаций, и в некоторых случаях злоумышленники действительно похитили клиентские данные. Расследование этих инцидентов поручено специалистам Mandiant, привлечённым компанией Salesloft. Позднее Google Threat Intelligence Group подтвердила масштаб злоупотреблений. Перед запуском нового сайта утечек Google и Salesforce предупредили потенциально пострадавшие компании.
В августовском отчёте Google отмечалось, что к инцидентам может быть причастна группировка ShinyHunters, и предполагалось скорое появление сайта утечки. Аналитики тогда указывали, что новая волна публикаций направлена на усиление давления на компании, пострадавшие в результате атак UNC6040. В тот же день в Telegram появился канал Scattered LAPSUS$ Hunters, где группировки Scattered Spider, ShinyHunters и Lapsus$ объявили о сотрудничестве. Однако канал просуществовал недолго и был удалён через несколько дней.
К середине сентября представители Scattered Spider и Lapsus$ заявили об уходе из активной деятельности, намереваясь «наслаждаться накопленными средствами». Вскоре после этого два подростка из Великобритании были обвинены в кибератаках на инфраструктуру Transport for London. Следователи из США и Великобритании связали их с группировкой Scattered Spider. Ещё один подозреваемый — подросток из Лас-Вегаса — сдался полиции 17 сентября. Его считают участником атак на казино в 2023 году, также приписываемых этой же группе.
На запрос журналистов представители объединения SLH/SLSH Press Newsroom отказались раскрывать детали, заявив лишь, что решение о возобновлении деятельности связано с недавними арестами. Комментариев о внутренней структуре организации и происхождении похищенных данных предоставлено не было.
Для просмотра ссылки Войди
