Cyberbende eist miljard om Salesforce-data niet te lekken

In dit artikel:

Een groep die zichzelf Scattered LAPSUS$ Hunters noemt, is opnieuw opgedoken met een grootschalige afpersingsclaim gericht op gebruikers van Salesforce. De bende zegt toegang te hebben tot gegevens van circa veertig bedrijven en eist 989 miljoen dollar om te voorkomen dat naar verluidt bijna een miljard klantrecords openbaar worden gemaakt; ze stelde Salesforce een onderhandelingstermijn tot 10 oktober.

Salesforce stelt geen aanwijzingen te hebben dat het eigen platform is gekraakt en beoordeelt de dreigementen als gebaseerd op eerdere of onbevestigde incidenten. Het bedrijf werkt samen met externe specialisten en autoriteiten en biedt mogelijk hulp aan getroffen klanten. Onderzoek van Google’s Threat Intelligence Group verbindt de werkwijze met UNC6040: telefonische social-engineering (vishing) waarbij aanvallers zich voordoen als IT-personeel om slachtoffers een kwaadaardige connected app te laten autoriseren. Zodra toestemming is verleend, exporteren de aanvallers met eigen Python-tools data via de Salesforce-API en verbergen ze hun herkomst met VPN’s en het TOR-netwerk.

Er is ook sprake van een tweede actor, UNC6240, die langere tijd na een inbraak losgeld eist en zich soms als ShinyHunters voordoet om druk te verhogen. De tactieken lijken op eerdere collectieven zoals Lapsus$ en Scattered Spider; onderzoekers zien vooral gedeelde kennis in plaats van directe samenwerking. Zowel Google als Salesforce adviseren striktere beveiliging: beperkte Data Loader-rechten, strenge controle op connected apps, IP-restricties en verplichte multi-factor-authenticatie. De zaak illustreert dat financieel gemotiveerde cybergroepen ondanks arrestaties en beloften om te stoppen actief blijven.