Grupo de hackers alega roubo de 1 bilhão de registros de clientes da Salesforce e exige resgate

Um notório grupo de hackers, que combina as identidades do Lapsus$, Scattered Spider e ShinyHunters, lançou um site de extorsão na dark web, ameaçando divulgar cerca de um bilhão de registros roubados de clientes da Salesforce. O ataque massivo teve como alvo dezenas de grandes corporações que utilizam os bancos de dados em nuvem da Salesforce para armazenar informações de seus clientes.

O site dedicado ao vazamento de dados, denominado Scattered LAPSUS$ Hunters, foi descoberto por pesquisadores de inteligência de ameaças na sexta-feira e tem um objetivo claro: pressionar as vítimas a pagar um resgate para impedir que seus dados roubados sejam tornados públicos. A mensagem na página é direta: “Entre em contato conosco para retomar o controle da governança de dados e impedir a divulgação pública dos seus dados. Não seja a próxima manchete.”

Nas últimas semanas, o grupo hacker ShinyHunters tem sido associado a uma onda de invasões direcionadas a bancos de dados hospedados na nuvem da Salesforce. A lista de vítimas confirmadas ou alegadas é extensa e inclui gigantes de diversos setores: a seguradora Allianz Life, Google, o conglomerado de moda Kering, a companhia aérea Qantas, a indústria automobilística Stellantis, a agência de crédito TransUnion e a plataforma de gestão de funcionários Workday, entre várias outras.

O novo site de vazamento lista outras vítimas em potencial, como FedEx, Hulu (de propriedade da Disney) e Toyota Motors, pressionando essas empresas a negociar. Um representante do ShinyHunters confirmou que “Há inúmeras outras empresas que não foram listadas,” sugerindo que algumas vítimas já podem ter pago o resgate para manter o sigilo.

No topo da nova página, os hackers intensificam a pressão, mirando diretamente na Salesforce e exigindo que a empresa negocie um resgate, sob ameaça de que, caso contrário, "todos os dados dos seus clientes serão vazados". O tom sugere que a Salesforce ainda não se engajou em negociações com o grupo.

A Salesforce, por meio de sua porta-voz Nicole Aranda, minimizou as ameaças. Em um comunicado, a empresa afirmou estar “ciente das recentes tentativas de extorsão por parte de hackers”, mas sugeriu que as tentativas estão “relacionadas a incidentes passados ou infundados”. A empresa destacou que “não há indícios de que a plataforma Salesforce tenha sido comprometida, nem esta atividade está relacionada a qualquer vulnerabilidade conhecida em nossa tecnologia.” A Salesforce, contudo, não quis fornecer mais detalhes.

O lançamento de um site de vazamento por um grupo hacker predominantemente de língua inglesa, com laços históricos ao Lapsus$, é um desenvolvimento notável. Historicamente, este tipo de plataforma de extorsão tem sido associado a grupos hackers estrangeiros de ransomware, muitas vezes de língua russa.

Nos últimos anos, esses grupos de cibercriminosos organizados evoluíram: em vez de apenas roubar e criptografar os dados de suas vítimas (o tradicional ransomware), eles adotaram a tática da extorsão pura. Agora, eles simplesmente ameaçam tornar públicos os dados roubados, forçando as vítimas a pagar para evitar a divulgação, transformando a extorsão em uma operação de pressão midiática e reputacional.

A criação desta nova plataforma sinaliza que os hackers de língua inglesa estão adotando esse modelo de pressão pública para maximizar seus lucros.

Via - TC