Bir gasp grubu, saldırılarda çalınan veri örneklerini sızdıran bir Salesforce ihlali dalgasından etkilenen düzinelerce şirketi kamuya açıklamak için yeni bir veri sızıntısı sitesi başlattı.
Bu saldırılardan sorumlu tehdit aktörleri, kendilerine “dağınık Lapsus $ avcılar” olarak adlandırılan Shinyhunters, Dağınık Örümcek ve Lapsus $ gruplarının bir parçası olduğunu iddia ediyorlar.
Bugün, saldırılardan etkilenen 39 şirket içeren yeni bir veri sızıntısı sitesi başlattılar. Her giriş, kurbanların Salesforce örneklerinden çalındığı iddia edilen veri örneklerini içerir ve kurbanları 10 Ekim son tarihine ulaşılmadan önce verilerinin “kamu açıklamasını önlemeye” ulaşmaları konusunda uyarır.
Veri sızıntısı sitesinde zorlanan şirketler, FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Adi-Cence, Klm dahil olmak üzere tanınmış markalar ve organizasyonları içerir.
Shinyhunters, Shinyhunters BleepingComputer’a verdiği demeçte, “Hepsi uzun zaman önce iletişime geçti, e -postayı gördüler çünkü örnekleri birden çok kez indirdiklerini gördüm. Çoğu açıklamamayı ve görmezden gelmemeyi seçti.”
“Doğru karara geçmenizi şiddetle tavsiye ediyoruz, kuruluşunuz bu verilerin yayınlanmasını önleyebilir, durum üzerinde kontrolü yeniden kazanabilir ve tüm operasyonlar her zaman olduğu gibi istikrarlı kalabilir. Bir karar vericinin bu konuyu çözmek için net ve karşılıklı olarak faydalı bir fırsat sunduğumuz için dahil olmasını şiddetle tavsiye ediyoruz.”
Tehdit aktörleri ayrıca, Salesforce’un etkilenen tüm müşterilerin verilerinin (kişisel bilgiler içeren yaklaşık 1 milyar kayıt) sızdırılmasını önlemek için fidye ödemesini talep eden ayrı bir giriş ekledi.
“Uyarsanız, herhangi bir aktif veya bekleyen müzakereden bireysel olarak müşterilerinizden çekileceğiz. Müşterileriniz tekrar saldırıya uğramayacak veya bizden tekrar fidye ile karşılaşmayacaklar,” diye eklediler.
Gasar grubu ayrıca şirketi tehdit etti ve hukuk firmalarının veri ihlallerini takiben Salesforce’a karşı sivil ve ticari davalar takip etmelerine yardımcı olacağını ve şirketin Avrupa Genel Veri Koruma Yönetmeliği’nin (GDPR) gerektirdiği şekilde müşterilerin verilerini koruyamadığı konusunda uyardı.
Dağınık Lapsus $ avcılar, yılın başından beri Salesforce müşterilerini ses kimlik avı saldırılarıyla hedefliyor ve Google, Cisco, Qantas, Adidas, Allianz Life, Farmers Sigortası, İş Günü ve LVMH iştirakleri gibi şirketleri etkileyen ihlallere yol açıyor ve Dior, Louis Vuitton ve Tiffany & Co.
Bu saldırılarda, tehdit aktörleri çalışanları kötü niyetli bir OAuth uygulamasını şirketlerinin Salesforce örneğine bağlamaya kandırdı. Shinyhunters, BleepingComputer’a belirli bir Salesforce örneği hedeflenmiş olsa da, bağlı kuruluşların birçoğu için veriler içerdiğini ve saldırıları daha etkili hale getirdiğini söyledi.
Bağlandıktan sonra, saldırganlar şirket veritabanlarını çaldı ve verileri e -posta yoluyla kurbanları zorlamak için kullandı. Bu gasp e-postaları, kar tanesi saldırıları ve AT&T ve Powerschool’a karşı olanlar da dahil olmak üzere son yıllarda uzun bir yüksek profilli ihlal dizisine bağlı kötü şöhretli bir gasp grubu olan Shinyhunters tarafından imzalandı.
Shinyhunters Ayrıca, müşterilerin Salesforce örneklerinden şifreler, AWS erişim anahtarları ve kar tanesi jetonları da dahil olmak üzere hassas bilgileri çalmak için Salesloft’un Drift AI Salesforce ile Drift AI sohbet entegrasyonu için çalıntı OAuth Jetons kullandığını iddia etti.
Bu saldırılar Mantiant tarafından “UNC6395” adlı ayrı bir tehdit kümesi altında izlendi, çünkü ihlalleri bu gruba resmi olarak bağlayamadı.
Gasp grubu ile ilişkili bir telgraf kanalında, tehdit aktörleri 10 Ekim’de piyasaya sürülen ayrı bir veri sızıntı sitesine yönelik Salesloft Drift saldırılarından etkilenen şirketleri zorlamaya başlayacaklarını iddia ediyorlar.
Shinyhunters daha önce BleepingComputer’a Salesloft veri hırsızlığı saldırılarının yaklaşık 760 şirketi etkilediğini ve 1,5 milyar Salesforce rekorunun hırsızlığına neden olduğunu söyledi.
Salesloft saldırılarının Google, Palo Alto Networks, Cyberark, Cloudflare, Rubrik, Elastik, BeyondTrust, Proofpoint, Jfrog, Zscaler, Tenababe, Nutanix, Qualys ve Cato Networks’ü etkilediği bilinmektedir. Shinyhunters, bu ilk gasp aşamasında bir fidye ödenirse, Salesloft kampanyası kapsamında şirketlerin yeniden dışlanmayacağını iddia ediyor.
Katılmak İhlal ve Saldırı Simülasyon Zirvesi ve deneyimle Güvenlik doğrulamasının geleceği. Üst düzey uzmanlardan dinleyin ve nasıl olduğunu görün AI ile çalışan BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın