ShinyHunters

Selon TechCrunch, un groupe de cybercriminels connu sous les noms Lapsus$, Scattered Spider et ShinyHunters a lancé un site de fuite sur le dark web pour faire pression sur ses victimes, affirmant détenir environ un milliard d’enregistrements volés à des entreprises stockant leurs données clients dans des bases de données cloud hébergées par Salesforce. 🔓 Le site, baptisé « Scattered LAPSUS$ Hunters », vise l’extorsion en menaçant de publier les données dérobées si les victimes ne paient pas. Le message d’accueil appelle les organisations à « nous contacter pour reprendre le contrôle de la gouvernance des données et empêcher leur divulgation publique ». ...

Selon BleepingComputer, un groupe d’extorsion se présentant comme « Scattered Lapsus$ Hunters » (affiliations revendiquées: ShinyHunters, Scattered Spider, Lapsus$) a lancé un nouveau site de fuite de données pour extorquer des organisations touchées par une vague de violations liées à Salesforce. ⚠️ Le site recense 39 entreprises. Pour chaque victime, des échantillons de données exfiltrées depuis des instances Salesforce sont publiés, avec un ultimatum au 10 octobre invitant les victimes à « prévenir la divulgation publique » en les contactant. ...

Selon The Record (Recorded Future News), le FBI a publié un avis flash décrivant une campagne de vol de données et d’extorsion visant des centaines d’organisations, attribuée à Scattered Spider (UNC6395) et ShinyHunters (UNC6040), après compromission d’instances Salesforce. Depuis octobre 2024, les acteurs ont utilisé de l’ingénierie sociale en se faisant passer pour des employés IT auprès des centres d’appels afin d’obtenir des identifiants, puis accéder aux données clients dans Salesforce. Dans d’autres cas, des phishings (emails/SMS) ont permis de prendre le contrôle de téléphones ou ordinateurs d’employés. ...

Source: DataBreaches.net (15 septembre 2025, auteur: Dissent). Contexte: après la révélation d’une exfiltration touchant des marques de Kering, le média publie de nouveaux éléments contredisant une partie de la communication officielle du groupe. Les faits: ShinyHunters affirme avoir acquis des données clients via deux attaques liées à Salesforce: plus de 43 M d’enregistrements (Gucci) et près de 13 M pour Balenciaga, Brioni, Alexander McQueen combinés. Les échantillons fournis à DataBreaches paraissent légitimes et ne contiennent pas d’informations financières (cartes, comptes) selon leur examen. ...

Source: FBI (FLASH-20250912-001), coordonné avec DHS/CISA; TLP:CLEAR. Contexte: alerte du 12 septembre 2025 détaillant des campagnes de vol de données et d’extorsion ciblant les plateformes Salesforce par les groupes UNC6040 et UNC6395. – Aperçu général Les groupes criminels UNC6040 et UNC6395 mènent des intrusions contre des instances Salesforce par des mécanismes d’accès initiaux distincts. Les actions observées incluent le vol massif de données via API, l’autorisation frauduleuse d’applications connectées (OAuth) et des demandes d’extorsion (notamment associées à « ShinyHunters » après les exfiltrations de UNC6040). L’alerte vise à maximiser la sensibilisation et fournit des IOCs et des mesures recommandées. 🚨 ...

Source: DataBreaches.net (8 septembre 2025). Le média relate les revendications de ShinyHunters concernant une intrusion au sein du National Credit Information Center (CIC) du Vietnam, organisme public sous la Banque d’État du Vietnam chargé de la collecte, l’analyse et la fourniture d’informations de crédit. Selon ShinyHunters, ils ont compromis la cible en moins de 24 heures et exfiltré plus de 160 millions d’enregistrements depuis l’Institut du Crédit du Vietnam/CIC, avec au total « environ 3 milliards de lignes » toutes tables confondues. Le groupe indique que l’ensemble inclut des données historiques et pense avoir couvert « toute la population » (sans connaître le nombre d’individus uniques). ...

Source: BleepingComputer (Sergiu Gatlan). L’article rapporte que Workiva a informé ses clients d’un vol de données limité via un CRM tiers, incident qui s’inscrit dans la récente série de brèches Salesforce attribuées au groupe d’extorsion ShinyHunters. • Données touchées chez Workiva: noms, adresses e‑mail, numéros de téléphone et contenus de tickets de support. Workiva précise que sa plateforme et les données qu’elle héberge n’ont pas été accédées et que l’accès est venu via une application tierce connectée. L’entreprise met en garde contre un risque de spear‑phishing et rappelle ses canaux officiels de contact. ...

Selon BleepingComputer (25 août 2025), Farmers Insurance a divulgué une fuite de données affectant environ 1 111 386 clients, après l’accès non autorisé à une base gérée par un tiers le 29 mai 2025. Le 30 mai, le prestataire a détecté l’activité malveillante et l’a bloquée, déclenchant une enquête et une notification aux autorités. Des courriers d’information ont été envoyés aux personnes concernées à partir du 22 août. Les informations compromises incluent potentiellement les noms, adresses, dates de naissance, numéros de permis de conduire et/ou les quatre derniers chiffres du SSN. Bien que Farmers ne nomme pas le prestataire, BleepingComputer indique que les données proviennent des attaques de vol de données ciblant Salesforce menées cette année. ...

Selon BleepingComputer, des hackers ont diffusé les données volées de l’assureur américain Allianz Life, confirmant une vague d’attaques visant Salesforce et impliquant ShinyHunters, avec des revendications d’alignement avec Scattered Spider et Lapsus$. • Impact et contexte 🧾 — Allianz Life avait dévoilé en juillet qu’une « majorité » de ses 1,4 M de clients avait été affectée par un vol de données depuis un CRM cloud tiers (le fournisseur n’a pas été nommé). Les acteurs ont depuis publié les bases complètes dérobées aux instances Salesforce de l’entreprise. Les attaquants ont aussi ouvert un canal Telegram « ScatteredLapsuSp1d3rHunters » pour revendiquer plusieurs intrusions, notamment chez Internet Archive, Pearson et Coinbase. ...

Source : ReliaQuest — Contexte : Threat Spotlight analysant des campagnes en 2025 où ShinyHunters cible Salesforce, avec des similarités marquées avec Scattered Spider et des recoupements d’infrastructure et de ciblage sectoriel. ReliaQuest décrit le retour de ShinyHunters après une période d’inactivité (2024–2025) via une campagne contre Salesforce touchant des organisations de premier plan, dont Google. Le rapport souligne des TTPs alignés sur Scattered Spider (phishing Okta, vishing, usurpation de domaines, exploitation d’apps connectées Salesforce), nourrissant l’hypothèse d’une collaboration. Des éléments circonstanciels incluent l’alias « Sp1d3rhunters » (Telegram/BreachForums) lié à des fuites passées (p. ex. Ticketmaster) et des chevauchements de ciblage par secteurs (commerce de détail avril–mai 2025, assurance juin–juillet, aviation juin–août). ...