Un groupe de piratage à prédominance anglophone a lancé un site Web pour extorquer sa victime, menaçant de rebellifier environ un milliard de dossiers volés à des entreprises qui stockent les données de leurs clients dans les bases de données cloud hébergées par Salesforce.
Le groupe vaguement organisé, connu sous le nom de lapsus $, Spanded Spider et ShinyHuters, a publié un site de fuite de données dédié sur la toile sombre, appelée Hunters de Lapsus $ dispersée.
Vendredi, le site Web, repéré pour la première fois par les chercheurs du renseignement des menaces, vise à appuyer sur la victime de payer les pirates pour éviter que leurs données volées soient publiées en ligne.
«Contactez-nous pour reprendre le contrôle du gouvernement des données et empêcher le public de divulguer vos données», lit le site. «Ne soyez pas le prochain titre. Toutes les communications exigent une vérification stricte et seront gérées avec discrétion.»
Au cours des dernières semaines, le gang Shinyhuters aurait piraté des dizaines de sociétés de haut niveau en pénétrant dans leurs bases de données basées sur le cloud hébergées par Salesforce.
Le géant de l’assurance Allianz Life, Google, le conglomérat de mode Kering, la compagnie aérienne Qantas, le géant des cartes de calage Stellantis, la transunion du Bureau du crédit et la plate-forme de gestion des employés Workday, entre autres, ont confirmé que leurs données avaient été volées dans ces hacks de masse.
Le site de fuite des pirates répertorie plusieurs victimes présumées, notamment FedEx, Hulu (détenue par Disney) et Toyota Motors, dont aucune n’a répondu vendredi à la demande de commentaires.
Il n’est pas clair si les sociétés connues ont été piratées mais pas inscrites sur le site de fuite du groupe de piratage ont rendu une rançon aux pirates pour empêcher la publication de leurs données. Lorsqu’il a réagi par TechCrunch, un représentant de Shinyhuters a déclaré: «Il existe de nombreuses autres sociétés qui n’ont pas répertorié Ben», mais a refusé de dire pourquoi.
En haut du site, les pirates mentionnent Salesforce et demandent que la société négocie une rançon, menaçant que «toutes vos données (sic) (sic) soient divulguées autrement.» Le ton du message suggère que Salesforce n’a pas encore engagé avec les pirates.
La porte-parole de Salesforce, Nicole Arannda, a fourni un lien vers la strature de l’entreprise, qui note que la société est «consciente des tentatives d’extorts récentes par des acteurs de la menace».
« Nos résultats indiquent que ces tentatives sont liées aux incidents passés ou non substantiels, et nous restons engagés avec les clients touchés pour fournir un soutien », indique le statut. «Pour le moment, rien n’indique que la plate-forme Salesforce a été compromise, et cette activité n’est pas liée à une vulnérabilité connue dans notre technologie.»
Arannda a refusé de commenter davantage.
Pendant des semaines, des chercheurs en sécurité ont émis l’hypothèse que le groupe, qui a historiquement échappé à une présence publique en ligne, prévoyait de publier sur le site Web de Data Felt pour extorquer sa victime.
Historiquement, ces sites Web ont été associés à des gangs de ransomware étrangers, souvent russes. Au cours des dernières années, ces groupes de cybercriminaux organisés ont évolué de voler, de crypter les données de leur victime, puis de demander en privé une rançon, de simplement échanger pour publier les données volées en ligne à moins qu’elles ne soient payées.
Mis à jour avec comment de ShinyHuanters et commenter de Salesforce.
