ЗеноХ разкрива глобална хакерска атака, която експонира до 1,5 милиарда записа

Цифровите GHOSTs Lapsus$“ се завръщат, по-сложни и с ясна цел: цифровата верига за доставки. Нов доклад за разузнаване на заплахи от ZenoX, стартираща компания за киберсигурност от Dfense Group, разкрива, че разклонение на скандалния, самозван колектив “ловеци на катери Lapsus$”, Стои зад една от най-големите атаки по веригата за доставки, документирани някога, като прави компромис между 989 милиона и 1,5 милиарда корпоративни записи чрез изследване на интеграциите на платформата Salesforce.

Проучването, наречено “Дигитални призраци: Метаморфозата на Lapsus$ в разпръснати ловци”, описва подробно как групата еволюира от хаотични тактики, които парализираха гиганти като Microsoft, Nvidia и Министерството на здравеопазването между 2021 и 2022 г. до финансово мотивирана и стратегически артикулирана престъпна операция Разследването на ZenoX посочва, че неотдавнашната кампания е използвала уязвимост в интеграцията между Salesforce и платформата за ангажиране на продажбите Salesloft Drift.

Използвайки вратички в цифровата верига за доставки, престъпниците компрометираха Salesloft и получиха токени за достъп (OAuth), способни да заобиколят многофакторното удостоверяване (MFA), проправяйки пътя за хакване на случаи на Salesforce, използвани от стотици корпорации (Google AdSense, Cisco), авиация (Qantas, Air France, KLM, FedEx), търговия на дребно (Home Depot, IKEA), лукс (Луи Вюитон, Шанел, Диор, Картие), автомобилни (Тойота, Стелантис), хранене (Макдоналдс, KFC), медии и развлечения (Дисни/Хулу, HBO Макс) и финанси (Allianz Life, TransUnion), между другото.

“О, това, на което сме свидетели, е съзряването на призрак. Оригиналният Lapsus$, сформиран от тийнейджъри, доказа, че добре изпълненото социално инженерство е по-опустошително от всеки сложен зловреден софтуер. Сега неговите наследници на Scattered Lapsus$ Hunters научиха урока, присъединиха се към други опитни групи като Scattered Spider и ShinyHunters и индустриализираха” метода, анализира Ana Cerqueira, CRO da ZenoX. “Стотици демонстрираха, че най-слабото звено вече не е просто невнимателен служител, а доверието, което сме оказали на взаимосвързаните софтуерни екосистеми, за да влезем като ключ, беше да се присъединим към Salesm.”

Докладът на ZenoX описва подробно, че изложените данни са с много висока чувствителност и включват пълни имена, номера на социално осигуряване (SSN), дати на раждане, информация за шофьорска книжка, имейли, телефони, история на покупките, съдържание на билети за поддръжка, API ключове, токени за достъп и други корпоративни идентификационни данни.

Мотивацията на групата беше ясна в ултиматум: киберпрестъпниците поискаха плащане на 20 биткойна (около US$1,3 милиона) директно от Salesforce, като се определя краен срок за 10 октомври 2025 г. ако плащането не бъде извършено, групата заплашва не само да публикува публично милиардните записи, но и да си сътрудничи с адвокатски кантори в съдебни спорове срещу Salesforce и да докладва компанията на регулаторите за защита на данните в Европа и САЩ (GDPR, CCPA).

“Тактиката на двойното изнудване се превърна в тройно или четворно изнудване: те заплашват основната компания, компаниите клиенти и все още обещават да въоръжат регулаторите с доказателства Това е демонстрация на сила, която поставя цялата SaaS индустрия в състояние на тревога”, добавя Серкейра “Традиционните защити са недостатъчни срещу противниците, експлоатиращи доверието като основен вектор на атака. Единственият ефективен отговор е проактивното разузнаване, наблюдението на партньорската екосистема и престъпния подземен свят, за да се предвидят тези ходове, преди да се материализират в криза с глобални размери”