Selon BleepingComputer, un groupe d’extorsion se présentant comme « Scattered Lapsus$ Hunters » (affiliations revendiquées: ShinyHunters, Scattered Spider, Lapsus$) a lancé un nouveau site de fuite de données pour extorquer des organisations touchées par une vague de violations liées à Salesforce.
⚠️ Le site recense 39 entreprises. Pour chaque victime, des échantillons de données exfiltrées depuis des instances Salesforce sont publiés, avec un ultimatum au 10 octobre invitant les victimes à « prévenir la divulgation publique » en les contactant.
Marques et organisations citées parmi les victimes présumées (exemples) :
- FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap
- McDonald’s, Walgreens, Instacart, Cartier, Adidas, Sake Fifth Avenue
- Air France & KLM, Transunion, HBO MAX, UPS, Chanel, IKEA
💬 Les acteurs affirment avoir déjà contacté les victimes et observé des téléchargements répétés des échantillons, en reprochant à « la plupart » d’avoir ignoré et de ne pas avoir divulgué. Ils exhortent des décideurs à s’impliquer, présentant leur démarche comme une « opportunité mutuellement bénéfique » pour résoudre la situation.
🎯 En parallèle, une entrée dédiée réclame une rançon à Salesforce pour empêcher la fuite des données d’environ 1 milliard d’enregistrements de données personnelles concernant des clients impactés. Ils promettent, en cas de paiement, de se retirer de toute négociation en cours avec ces clients et de ne plus les attaquer ni leur réclamer de rançon.
⚖️ Le groupe menace aussi d’« aider des cabinets d’avocats » à engager des actions civiles et commerciales contre Salesforce à la suite des violations, affirmant que l’entreprise n’a pas protégé les données de ses clients conformément au RGPD.
TTPs observés dans l’article:
- Mise en place d’un site de fuite pour l’extorsion publique (doxing/pressure leak)
- Exfiltration de données depuis des instances Salesforce et publication d’« échantillons »
- Ultimatums et négociations avec victimes et éditeur (deadline datée)
- Tentative de coercition juridique (menace d’appui à des poursuites RGPD)
IOCs:
- Aucun indicateur technique partagé dans l’article.
Type d’article: article de presse spécialisé relatant une campagne d’extorsion et la publication d’un site de fuite associé.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/shinyhunters-starts-leaking-data-stolen-in-salesforce-attacks/