Selon Unit 42 (Palo Alto Networks), le conglomérat « Scattered Lapsus$ Hunters » — incluant Muddled Libra, Bling Libra et des acteurs LAPSUS$ — mène des campagnes coordonnées d’extorsion basées sur le vol de données contre des clients Salesforce, tout en poursuivant ses activités malgré la saisie par le FBI de domaines liés à BreachForums.

• Menaces et opérations: Les acteurs ciblent des plateformes cloud, notamment des locataires Salesforce et des environnements AWS, pour exfiltrer des données clients sans déployer de chiffrement ni de ransomware, privilégiant une extorsion par vol de données. Bling Libra a lancé un modèle Extortion-as-a-Service (EaaS) avec une commission de 25–30% sur les paiements, et opère un DLS (data leak site) listant 39 organisations. Le groupe collabore avec de nouveaux collectifs, dont Crimson Collective.

• Impacts et secteurs visés: Les secteurs retail et hôtellerie sont signalés à haut risque, avec des conséquences potentielles en usurpation d’identité, fraude et érosion de la confiance des consommateurs. Bling Libra affirme avoir volé plus d’un milliard d’enregistrements Salesforce.

• Intrusions notables: Crimson Collective a compromis l’instance GitLab de Red Hat, exfiltrant 570 Go issus de 28 000 dépôts, incluant des Customer Engagement Reports.

• TTPs et IOCs:

  • TTPs: Compromission de tenants Salesforce et environnements AWS; exfiltration de données sans ransomware; EaaS avec partage de revenus; publication sur DLS; collaboration inter-groupes (ex. Crimson Collective).
  • IOCs: Non fournis dans l’extrait.

• Mesures recommandées (selon le rapport): déploiement d’outils d’analyse de secrets/credentials (ex. TruffleHog), principes de Zero Trust avec politiques d’accès conditionnel, moindre privilège, et partage de renseignement via les ISACs. L’article est une analyse de menace qui synthétise les opérations, impacts et recommandations associées à ces campagnes. 🔎

🧠 TTPs et IOCs détectés

TTPs

Compromission de tenants Salesforce et environnements AWS; exfiltration de données sans ransomware; Extortion-as-a-Service (EaaS) avec partage de revenus; publication sur Data Leak Site (DLS); collaboration inter-groupes (ex. Crimson Collective).

IOCs

Non fournis dans l’extrait.

🔗 Source originale : https://unit42.paloaltonetworks.com/scattered-lapsus-hunters/

🖴 Archive : https://web.archive.org/web/20251013200933/https://unit42.paloaltonetworks.com/scattered-lapsus-hunters/