Selon TechCrunch, un groupe de cybercriminels connu sous les noms Lapsus$, Scattered Spider et ShinyHunters a lancé un site de fuite sur le dark web pour faire pression sur ses victimes, affirmant détenir environ un milliard d’enregistrements volés à des entreprises stockant leurs données clients dans des bases de données cloud hébergées par Salesforce.
🔓 Le site, baptisé « Scattered LAPSUS$ Hunters », vise l’extorsion en menaçant de publier les données dérobées si les victimes ne paient pas. Le message d’accueil appelle les organisations à « nous contacter pour reprendre le contrôle de la gouvernance des données et empêcher leur divulgation publique ».
🕵️ Sur les dernières semaines, le groupe aurait compromis des bases de données cloud hébergées sur Salesforce et revendique des intrusions chez plusieurs entreprises de premier plan. Des victimes ont confirmé des vols de données dans ces attaques de masse :
- Confirmées : Allianz Life, Google, Kering, Qantas, Stellantis, TransUnion, Workday.
- Listées comme victimes sur le site des attaquants (sans réponse aux demandes de commentaire au moment des faits) : FedEx, Hulu (Disney), Toyota Motors. Un représentant de ShinyHunters affirme qu’il existe « de nombreuses autres entreprises non listées », sans expliquer pourquoi.
🏢 Ciblée publiquement en tête du site, Salesforce se voit enjointe de négocier, sous la menace de fuite de « toutes [ses] données clients ». Salesforce déclare être « consciente de tentatives d’extorsion » et indique qu’à ce stade rien n’indique une compromission de sa plateforme, ni de lien avec une vulnérabilité connue, tout en restant engagée avec les clients affectés.
📈 Contexte et tendance: Des chercheurs anticipaient la mise en ligne d’un site de fuites par ce groupe habituellement discret. Historiquement associés à des gangs de ransomware (souvent russophones), ces sites matérialisent l’évolution vers l’extorsion par publication: plutôt qu’ajouter un chiffrement, les criminels menacent directement de divulguer les données volées pour obtenir un paiement. Il s’agit ici d’un article de presse spécialisé décrivant l’ouverture d’un site d’extorsion et la portée des vols revendiqués.
IOC et TTPs:
- IOCs: non communiqués.
- TTPs:
- Intrusion dans des bases de données cloud hébergées sur Salesforce (méthode non détaillée).
- Extorsion via un site de fuite sur le dark web et menaces de divulgation publique.
- Pression ciblant à la fois des entreprises victimes et Salesforce pour des négociations.
🔗 Source originale : https://techcrunch.com/2025/10/03/hacking-group-claims-theft-of-1-billion-records-from-salesforce-customer-databases/