A Salesforce confirmou que não vai negociar nem pagar resgates após um grupo de cibercriminosos afirmar possuir um grande volume de dados roubados em campanhas de hacking realizadas neste ano. A empresa disse estar colaborando com autoridades e especialistas forenses para investigar o caso. O grupo criminoso, que alega ligação com os coletivos Scattered Spider, Lapsus$ e ShinyHunters, publicou em um site de vazamento que teria dados de 39 grandes empresas globais, incluindo informações pessoais de clientes e usuários.
A publicação diz conter mais de um bilhão de registros, embora o tipo de dado roubado ainda não tenha sido confirmado. Segundo a Salesforce, não há indícios de falhas ou vulnerabilidades em sua plataforma, e o incidente não comprometeu sistemas internos. A companhia afirmou que está monitorando os ataques e notificou clientes potencialmente afetados sobre as tentativas de extorsão. Parte dos dados teria sido obtida por meio de campanhas de engenharia social e voice phishing, nas quais funcionários foram induzidos a instalar uma versão adulterada do aplicativo Salesforce Data Loader. Outra frente de ataque explorou tokens OAuth roubados de integrações com plataformas como Salesloft e Drift, permitindo acesso não autorizado a contas corporativas.
Pesquisadores afirmam que cerca de 760 organizações podem ter sido afetadas, e que os criminosos pretendem divulgar novas informações em fóruns e canais de vazamento nas próximas semanas. O FBI já havia alertado em setembro sobre campanhas semelhantes de roubo de credenciais e extorsão baseadas em engenharia social. Os atacantes também estão usando táticas inéditas de pressão. Uma delas oferece recompensas em Bitcoin para usuários que enviem e-mails a executivos das empresas vítimas, incentivando-os a pagar os resgates exigidos. Segundo analistas, essa é uma forma de “extorsão coletiva”, inédita nesse tipo de ataque.
