圈小蛙
一个名为“Scattered Lapsus$ Hunters”(散落的失败者猎手)的勒索软件和数据勒索组织于周五推出了一个基于Tor网络的暗网数据泄露网站,列出了36名受害者——该组织声称此次攻击从760家公司窃取了15亿条记录,这只是部分结果。犯罪分子向受害者和Salesforce公司索要加密货币,以此换取不泄露被盗数据的承诺。他们设定了周五为最后期限。
“不要成为下一个头条新闻,保护自己和你的客户,做出正确的决定并联系我们,”数据泄露网站呼吁道。
Salesforce发言人表示,公司不会屈服于勒索者的要求。“我可以确认,Salesforce不会与任何勒索者进行任何形式的接触、谈判或支付任何款项,”该发言人告诉信息安全媒体集团。
此前彭博社率先报道,Salesforce于周二联系了受影响的客户,警告他们有“可信的威胁情报”称,黑客计划泄露他们在 8 月份从 Salesloft Drift 人工智能聊天机器人用户那里窃取的数据,这些用户将该软件集成到了他们的 Salesforce 实例中。随后,该公司发表了声明。
黑客声称从使用 Salesloft Drift 的 760 家受害者处窃取了数据,但数据泄露网站列出了其中 39 家受害者,称这 39 家受害者贡献了 15 亿条被盗记录中的 10 亿条。据称的受害者包括思科、迪士尼、肯德基、宜家、万豪酒店、麦当劳、沃尔格林,以及食品巨头 Albertsons 和零售商 Saks Fifth Avenue。
安全专家和执法机构建议不要向网络犯罪分子支付勒索款项。向勒索者屈服只会助长他们的黑客行为,吸引更多同伙,并为他们提供资金,用于研究和开发更具破坏性的攻击手段。
压力之下
与典型的勒索数据者一样,“Scattered Lapsus$ Hunters”会想方设法施压。这包括直接联系客户,在多个Telegram频道上发布引人注目的信息并索要钱财,但始终没有透露他们究竟想要非法获利多少。
它威胁要公布所有 15 亿条被盗记录,这些数据是从“100 多个其他未具名实例”中窃取的,因为“你们没有强制执行 2FA 或任何其他类型的 OAuth 应用程序安全措施”,并且还要广泛传播这些数据。
泄露网站声称:“我们将公开配合众多律师事务所对您提起的民事和商业诉讼”,包括提供“受影响公司的完整名单,以及有关泄露事件的信息和每家受影响公司的数据样本”。
攻击者是否拥有他们声称窃取的数据,以及其中是否包含敏感信息,目前尚不清楚。勒索软件团伙经常夸大其窃取数据的价值,或者撒谎。
Salesforce 此前于 10 月 2 日警告客户,他们注意到“威胁行为者最近对他们进行的勒索企图”,这些企图涉及过去的事件或“未经证实的”事件,并敦促他们警惕社交工程和网络钓鱼活动。
该公司表示:“目前没有迹象表明 Salesforce 平台已被入侵,此次事件也与我们技术中任何已知的漏洞无关。我们理解这种情况令人担忧。保护客户环境和数据仍然是我们的首要任务,我们的安全团队已全力以赴,提供指导和支持。”
FBI 在 9 月初表示,与两个威胁集群(分别标记为 UNC6040 和 UNC6395)有关的攻击者使用窃取的 OAuth 令牌将 Salesloft Drift 电子邮件的 AI 聊天机器人与 Salesforce 实例集成,以窃取数据。
谷歌的威胁情报小组此前报告称,攻击最早于 8 月 8 日开始,至少持续到 8 月 18 日,约有 700 名 Salesloft 客户成为受害者,此外还有数量不明的组织将 Salesloft 与其他应用程序集成。
攻击者可能利用从此次数据泄露事件中获取的情报作为跳板。谷歌威胁研究人员报告称:“数据被窃取后,攻击者搜索了这些数据,寻找可能用于入侵受害者环境的秘密信息。” 这些凭证包括“亚马逊网络服务 (AWS) 访问密钥 (AKIA)、密码和 Snowflake 相关访问令牌”。
Salesloft 在聘请 Google Cloud 的 Mandiant 事件响应团队调查此次数据泄露事件后,于 8 月 20 日与 Salesforce 合作,撤销了所有 Drift OAuth 令牌的访问权限。这意味着将 Drift 与 Salesforce 集成的组织需要重新进行身份验证。Salesforce 还暂时将 Drift 从其 AppExchange 云应用市场中移除。
Salesforce 告诉彭博社,在暂停一段时间后,它现在已经“重新启用”与 SalesLoft 技术的集成,但 Drift 应用除外。
Salesloft 没有立即回应有关其采取措施防止该技术被进一步攻击、预计何时恢复服务以及有多少客户成为 ShinyHunters 攻击的受害者等问题的置评请求。