Les chasseurs de lapsus dispersés se produisent également d’aider aux poursuites contre les clients contre Salesforce.
Le gang de chasseurs de lapsus dispersés, qui indique qu’il a volé des données dans les instances Salesforce de dizaines d’entreprises internationales ces derniers mois, a augmenté son jeu d’extorsion aujourd’hui en énumérant leurs noms sur un nouveau site de fuite de données.
La liste des victimes présumées comprend Salesforce elle-même, à partir duquel le gang prétend avoir capturé environ 1 milliard de dossiers. D’autres comprenaient Toyota Motor Corp., FedEx, Disney / Hulu, UPS, Home Depot, le propriétaire de la chaîne d’hôtels Marriott, le constructeur automobile Stellantis, le détaillant américain Walgreens, McDonalds, Cisco Systems, Google Adsense et plus encore.
Toutes les victimes nommées ont été données jusqu’au 10 octobre pour payer, ou les données copiées seront publiées.
Dans le cas de Salesforce, le gang menace de faire plus: «se conformer» aux cabinets d’avocats qui recherchent des litiges civils et commerciaux pour une prétendue irresponsabilité contre la plate-forme de gestion de la relation client pour les prétendus vols de données, sur lesquels Salesforce et ses clients avaient été avertis par le gang pendant des mois avant que le site de fuite de données n’ait été dévoilé.
« Par exemple », a déclaré le préavis du gang à Salesforce, « nous vous avons eu un e-mail… en juillet 2025 et vous n’avez jamais pris d’autres mesures préventives pour nous arrêter.
Le gang affirme même que ses documents seront fournis au «district américain du district nord de la Californie» (ce qui signifie vraisemblablement le tribunal de district des États-Unis pour le district nord de la Californie) pour éventuellement poursuivre Salesforce. Dans le cadre de cette action, le gang promet que nous allons engager un dialogue ouvert avec nos contacts de presse, nos avocats de litige civil / commercial et répondre à toutes les questions posées. »
« Comme vous le savez, tout cela peut être évité », lit le message du gang à Salesforce. «Très facilement et rapidement. Pour réitérer, nous avons un accès complet à vos systèmes; si la rançon de la demande ne sera pas respectée, vos données seront publiées en totalité. Si vous vous conformerez, nous nous retirerons de toute négociation active ou en attente individuellement de vos clients. Vos clients ne seront plus attaqués et ne seront pas confrontés à une rançon de nous.
Qui est ce groupe?
Quelques antécédents: Selon Luke Connolly, chercheur à menace chez Emsisoft, ce groupe d’extorsion est une affiliation lâche apparente entre un certain nombre de groupes de cybercrimins relativement non structurés, y compris des shinyhunters, des araignées dispersées et des lapsus $ et le com, et fonctionne parfois sous un nom.
Le dévoilement du site de la fuite de données des victimes de Salesforce n’était pas inattendu. Le mois dernier, Connolly a déclaré que le groupe avait lancé une nouvelle chaîne télégramme pré-annonçant.
Déclaration de Salesforce
Hier, dans une déclaration en ligne – la veille du lancement du site de fuite de données – Salesforce a déclaré: «Nous sommes conscients des récentes tentatives d’extorsion par des acteurs de la menace, dont nous avons enquêté en partenariat avec des experts externes et des autorités. Nos résultats avec les clients affectés pour fournir un soutien. Vulnérabilité connue dans notre technologie. »
Attaque de vue
Le porte-parole de Salesforce a fait référence à un avertissement de juin du Google Threat Intelligence Group (GTIG) de l’activité d’un groupe qu’il appelle UNC6040 qui avait attaqué l’une de ses instances Salesforce d’entreprise. Ce groupe a toujours affirmé être Shinyhunters, qui se spécialise dans l’identité du personnel informatique dans les appels de phishing vocal (Vishing) pour inciter les employés à donner l’accès aux bases de données Salesforce, selon le rapport GTIG, en obligeant les victimes à autoriser la connexion d’une application malveillante à Salesforce Portal de leur organisation. Cette application est souvent une version modifiée du chargeur de données de Salesforce, pas une seule autorisation par Salesforce.
Pendant l’appel Vishing, le pirate guide la victime de la page de configuration de l’application connectée de Salesforce pour approuver une version malveillante de l’application Data Loader, avec un nom ou une marque qui diffère de la version légitime. Cela donne à Hacker la possibilité d’accéder, d’interroger et d’exfiltrer les informations sensibles directement à partir de l’environnement client Salesforce compromis.
Dans certains cas, le rapport GTIG ajoute que des activités d’extorsion n’ont été observées que plusieurs mois après l’activité d’intrusion initiale de l’UNC6040, ce qui pourrait suggérer que l’UNC6040 s’est associé à un deuxième acteur de menace qui monétise l’accès aux données volées.
Dans le cadre du rapport, Google affirme également que l’une de ses instances Salesforce, utilisée pour stocker les informations de contact et les notes connexes pour les petites et moyennes entreprises, a été compromise avec une tactique similaire de ce gang. Les données ont été récupérées par l’acteur de menace «pendant une petite fenêtre de temps» avant que l’accès ne soit coupé, explique Google. «Les données récupérées par l’acteur de menace se sont confinées aux informations commerciales de base et largement accessibles au public, telles que les noms d’entreprise et les coordonnées.»
Lié aux attaques de la dérive des ventes
En septembre, le FBI a publié une alerte flash sur les compromis des instances Salesforce par UNC6040 et UNC6395. Les deux groupes ont récemment ciblé les plateformes Salesforce des organisations via divers mécanismes d’accès initiaux. Cependant, dit l’alerte du FBI, UNC6395 a utilisé une tactique autre que Vishing. Il tire parti des jetons OAuth compromis pour SalesLoft Drift, un chatbot AI qui s’intègre non seulement à la plate-forme d’engagement des ventes SalesLoft, mais également à Salesforce. C’est ainsi que UNC6395 a pu obtenir les données des clients Salesforce.
Le 20 août, SalesLoft, en collaboration avec Salesforce, a révoqué tous les jetons de dérive actif et de rafraîchissement.
Dans une analyse de septembre, des chercheurs de Kela, basé à Israël, ont qualifié la campagne SalesLoft Drift «l’un des compromis les plus importants de la chaîne d’approvisionnement SaaS à ce jour». Les jetons oauth et actualités volés de Drift ont été conçus pour synchroniser les données entre Drift et Salesforce.
Ces jetons peuvent contourner les méthodes d’authentification primaire, y compris l’authentification multi-facteurs, note Kela. Dans cette campagne, les attaquants pourraient maintenir un accès persistant et générer de nouveaux jetons de session sur 10 jours. À partir de là, UNC6395 a pivoté dans des environnements Salesforce. En utilisant le langage de requête d’objet Salesforce (SOQL), le rapport KELA indique que les attaquants ont recherché des secrets de grande valeur, tels que les clés d’accès AWS, les jetons de neige et les mots de passe, qui sont souvent intégrés dans les cas d’assistance et les enregistrements clients. Les données volées ont ensuite été acheminées via l’infrastructure VPS Tor et Cloud (y compris AWS et DigitalOcean) pour obscurcir l’exfiltration. Les attaquants ont également tenté de nettoyer les journaux en supprimant les travaux de requête.
« Cette approche met en évidence une tendance croissante », a déclaré Kela. «Les attaquants ne volent pas des ensembles de données CRM entiers mais ciblant les joyaux de la Couronne cachés dans les plates-formes SaaS: des informations d’identification qui ouvrent la porte à des systèmes plus larges de cloud et d’entreprise.»
Kela dit que les entreprises victimes de cette campagne comprenaient Akamai, Cloudflare, Palo Alto Networks, Cyberark, Beyondtrust, BugCrowd, Proofpoint, Zscaler, Tanium et Workiva. Les données volées comprenaient des coordonnées, des données de support de ticket et des jetons API compromis, selon la victime.
SalesLoft a déclaré en septembre qu’une enquête de l’unité de réponse aux incidents Mandiant de Google a montré que cette campagne avait commencé avec UNC6395 accédant au compte GitHub de Salesloft entre mars et juin. Cela a permis le téléchargement de contenu à partir de plusieurs référentiels. De plus, l’acteur de menace a ajouté un utilisateur invité au compte.
Met en évidence un problème plus large
Brian Soby, directeur de la technologie et cofondateur d’Appomni, a appelé la menace par les pirates pour aider à une action en justice contre Salesforce «inhabituelle». nouvelle escalade. », a-t-il déclaré.
Cependant, il a déclaré: «En même temps, il est important de noter que Shinyhunters a eu accès par le phishing et les informations d’identification des utilisateurs du client volées, permettant le compromis des instances Salesforce du client. Dans le modèle de responsabilité partagée, la prévention et la détection de ces activités relève carrément dans le domaine du client.
Il a ajouté que ces incidents mettent en évidence un problème plus large, notant: «De nombreux clients SaaS n’ont pas encore adopté les outils et les pratiques nécessaires pour respecter efficacement leurs obligations de responsabilité communes. Ce qui est nouveau ici, c’est la tentative de carence présumée non seulement contre les clients, mais contre le vendeur et ses outils de sécurité natifs de première partie.»
« Avec SalesLoft, ils ont eu de la chance »
Le chatbot de vente de Salesloft, pour être efficace, doit s’interfacer avec Salesforce et d’autres systèmes à l’aide d’identification créée par le client. « Les attaquants ont volé ces informations d’identification de SalesLoft et les ont utilisées pour accéder aux instances Salesforce des entreprises touchées », a-t-il déclaré. «Toute entreprise qui dirige l’agent SalesLoft est potentiellement à risque.»
La situation dans son ensemble, a-t-il ajouté, est qu’il s’agissait d’une attaque de chaîne d’approvisionnement logicielle. Le logiciel distribué moderne utilise des API de services Web, tout comme les logiciels traditionnels ont utilisé des bibliothèques, a noté Ullrich. Mais, a-t-il dit, les API sont plus difficiles à protéger.
«Les utilisateurs de ces API ne sont généralement pas en mesure de les tester efficacement, ils font donc beaucoup de confiance dans les entreprises qui les exploitent», a-t-il expliqué. «La meilleure stratégie consiste à limiter votre exposition en pesant soigneusement le risque d’une API par rapport à l’avantage potentiel qu’il fournira. Tout accès fourni à ces systèmes distants devrait être soigneusement adapté au problème qu’ils essaient de résoudre. Cependant, par exemple, dans le cas de SalesLoft, son outil de chatbot a nécessité un accès assez éloigné pour être utile, et les attaquants en ont profité.»
