Selon BleepingComputer, un groupe d’extorsion a mis en ligne un nouveau site de fuites destiné à exercer une pression publique sur des dizaines d’entreprises affectées par une vague de brèches liées à Salesforce.
Un groupe d’extorsion connu sous le nom de Scattered Lapsus$ Hunters, qui regroupe des membres des groupes ShinyHunters, Scattered Spider et Lapsus$, a lancé un nouveau site de fuite de données pour extorquer publiquement des dizaines d’entreprises victimes d’attaques sur leurs instances Salesforce. Le site contient des échantillons de données volées à 39 entreprises célèbres telles que FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, McDonald’s, Adidas ou encore IKEA.
Les attaquants menacent de divulguer publiquement les données volées si les victimes ne les contactent pas avant la date limite du 10 octobre, offrant toutefois une possibilité d’arrangement pour éviter la diffusion. Ils réclament également une rançon à Salesforce pour empêcher la fuite des données personnelles d’environ un milliard de clients des entreprises utilisant ses services.
Ces attaques exploitent principalement des techniques de vishing (hameçonnage vocal) visant les employés pour les inciter à connecter des applications OAuth malveillantes à leurs environnements Salesforce. Cela permet aux attaquants de récupérer des bases de données entières et d’extorquer les victimes par email. Ces attaques ont touché de grandes entreprises comme Google, Cisco, Qantas, Adidas, Allianz Life, Farmers Insurance, et LVMH (incluant Dior, Louis Vuitton, Tiffany & Co.).
Salesforce a nié une compromission directe de sa plateforme et affirme qu’aucune vulnérabilité connue n’a été exploitée dans ces incidents. Néanmoins, la portée des attaques et la sophistication des cybercriminels, qui ont volé au total plus de 1,5 milliard d’enregistrements dans le cadre de cette campagne, soulignent l’importance pour les entreprises d’améliorer leur vigilance face aux risques liés aux intégrations tierces et aux attaques d’ingénierie sociale.
Les experts recommandent aux entreprises de renforcer la sensibilisation des employés, d’adopter des contrôles d’accès stricts, d’exiger des authentifications multi-facteurs résistantes au phishing, et de surveiller étroitement les connexions aux applications tierces pour limiter l’impact de telles campagnes.
Points saillants:
- Type d’attaque: extorsion via un data leak site (site de fuites)
- Vecteur/Contexte: brèches liées à Salesforce (détails non précisés dans l’extrait)
- Impact: publication d’échantillons de données exfiltrées pour accroître la pression publique sur les victimes
Cette publication relève d’un article d’actualité spécialisé visant à informer sur l’émergence d’un nouveau site de fuites utilisé pour l’extorsion dans le cadre des brèches Salesforce.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/shinyhunters-starts-leaking-data-stolen-in-salesforce-attacks/