ZenoX afslører globalt hackerangreb, der har eksponeret op til 1,5 milliarder poster

Lapsus$ digitale SPØGELSER“ er tilbage, mere sofistikerede og med et klart mål: den digitale forsyningskæde.En ny trusselsintelligensrapport fra ZenoX, en cybersecurity startup fra Dfense Group, afslører, at en udløber af det berygtede, selvbestaltede kollektiv “cattered Lapsus$ Hunters”, Står bag et af de største forsyningskædeangreb, der nogensinde er dokumenteret, og går på kompromis mellem 989 millioner og 1,5 milliarder virksomhedsregistre ved at udforske Salesforce platform integrationer.

Undersøgelsen, kaldet “Digitale spøgelser: Metamorfosen af Lapsus$ i spredte jægere”, detaljer, hvordan gruppen udviklede sig fra kaotisk taktik, der lammede giganter som Microsoft, Nvidia og sundhedsministeriet mellem 2021 og 2022 til en økonomisk motiveret og strategisk artikuleret kriminel operation.ZenoX-undersøgelsen påpeger, at den seneste kampagne udnyttede en sårbarhed i integrationen mellem de Salesforce og platformen for salgsengagement Salesloft Drift.

Ved at udnytte smuthuller i den digitale forsyningskæde kompromitterede de kriminelle Salesloft og opnåede adgangstokens (OAuth), der var i stand til at omgå multi-faktor autentificering (MFA), hvilket banede vejen for hacking i tilfælde af Salesforce brugt af hundredvis af virksomheder (Google AdSense, Cisco), luftfart (Qantas, Air France, KLM, FedEx), detailhandel (Home Depot, IKEA), luksus (Louis Vuitton, Chanel, Dior, Cartier), automotive (Toyota, Stellantis), fodring (McDonald's, KFC), medier og underholdning (Disney/Hulu, HBO Max) og finans (Allianz Life, TransUnion), blandt andre.

“O det, vi er vidne til, er modningen af et spøgelse. Den oprindelige Lapsus$, dannet af teenagere, beviste, at veludført social engineering var mere ødelæggende end nogen kompleks malware. Nu lærte dens efterfølgere af Scattered Lapsus$ Hunters lektien, sluttede sig til andre erfarne grupper som Scattered Spider og ShinyHunters og industrialiserede” metoden, analyserer Ana Cerqueira, CRO da ZenoX. “Hundreder har vist, at det svageste led ikke længere kun er en uopmærksom medarbejder, men den tillid, vi har vist til indbyrdes forbundne softwareøkosystemer for at komme ind som en nøgle, var at slutte sig til en Salesm.”

ZenoX-rapporten beskriver, at de eksponerede data er af meget høj følsomhed og inkluderer fulde navne, CPR-numre (SSN'er), fødselsdatoer, kørekortoplysninger, e-mails, telefoner, købshistorik, supportbilletindhold, API-nøgler, adgangstokens og andre virksomhedsoplysninger.

Gruppens motivation var klar i et ultimatum: cyberkriminelle krævede betaling af 20 Bitcoins (ca. US$1,3 mio.) direkte fra Salesforce, fastsættelse af en deadline for 10. oktober 2025. hvis betaling ikke foretages, truer koncernen ikke kun med offentligt at frigive milliardoptegnelserne, men også med at samarbejde med advokatfirmaer i retssager mod Salesforce og rapportere virksomheden til databeskyttelsesmyndigheder i Europa og USA (GDPR, CCPA).

“Taktikken med dobbelt afpresning har udviklet sig til en tredobbelt eller firedobbelt afpresning: de truer kernevirksomheden, klientvirksomhederne og lover stadig at bevæbne regulatorer med beviser. Det er en magtdemonstration, der sætter hele SaaS-industrien på” alarm, tilføjer Cerqueira. “Traditionelle forsvar er utilstrækkelige mod modstandere, der udnytter tillid som den vigtigste angrebsvektor. Den eneste effektive reaktion er proaktiv intelligens, overvågning af partnerens økosystem og den kriminelle underverden for at forudse disse bevægelser, før de materialiserer sig i en krise af globale proportioner.”