ZenoX rivela un attacco informatico globale che ha esposto fino a 1,5 miliardi di record

Tornano i GHOSTs“ digitali Lapsus$, più sofisticati e con un obiettivo chiaro: la filiera digitale. Un nuovo rapporto di threat intelligence di ZenoX, startup di sicurezza informatica di Dfense Group, rivela che una costola del famigerato e sedicente collettivo “cattered Lapsus$ Hunters”, È dietro uno dei più grandi attacchi alla catena di fornitura mai documentati, compromettendosi tra 989 milioni e 1,5 miliardi di record aziendali esplorando le integrazioni della piattaforma Salesforce.

Lo studio, denominato “Digital Ghosts: La Metamorfosi di Lapsus$ in Scattered Hunters”, descrive in dettaglio come il gruppo si è evoluto da tattiche caotiche che hanno paralizzato giganti come Microsoft, Nvidia e il Ministero della Salute tra il 2021 e il 2022 a un'operazione criminale motivata finanziariamente e strategicamente articolata. L'indagine ZenoX sottolinea che la recente campagna ha sfruttato una vulnerabilità nell'integrazione tra il Forza vendita e la piattaforma di coinvolgimento delle vendite Deriva di Salesloft.

Sfruttando le scappatoie nella catena di fornitura digitale, i criminali hanno compromesso Salesloft e ottenuto token di accesso (OAuth) in grado di aggirare l'autenticazione a più fattori (MFA), aprendo la strada all'hacking nelle istanze di Salesforce utilizzate da centinaia di aziende (Google AdSense, Cisco), aviazione (Qantas, Air France, KLM, FedEx), vendita al dettaglio (Home Depot, IKEA), lusso (Louis Vuitton, Chanel, Dior, Cartier), automotive (Toyota, Stellantis), alimentazione (McDonald's, KFC), media e intrattenimento (Disney/Hulu, HBO Max) e finanza (Allianz Life, TransUnion), tra gli altri.

“O quello a cui stiamo assistendo è la maturazione di un fantasma L'originale Lapsus$, formato da adolescenti, ha dimostrato che l'ingegneria sociale ben eseguita era più devastante di qualsiasi malware complesso Ora, i suoi successori di Scattered Lapsus$ Hunters hanno imparato la lezione, si sono uniti ad altri gruppi esperti come Scattered Spider e ShinyHunters, e hanno industrializzato il metodo”, analizza Ana Cerqueira, CRO da ZenoX. “Centinaia hanno dimostrato che l'anello più debole non è più solo un dipendente disattento, ma la fiducia che abbiamo riposto negli ecosistemi software interconnessi per entrare come chiave è stata quella di entrare in un Salesm.”

Il rapporto ZenoX precisa che i dati esposti sono di altissima sensibilità e includono nomi completi, numeri di previdenza sociale (SSN), date di nascita, informazioni sulla patente di guida, e-mail, telefoni, cronologia degli acquisti, contenuto del ticket di supporto, chiavi API, token di accesso e altre credenziali aziendali.

La motivazione del gruppo era chiara in un ultimatum: i criminali informatici chiedevano il pagamento di 20 Bitcoin (circa US$1,3 milioni) direttamente da Salesforce, fissando una scadenza per 10 ottobre 2025. se il pagamento non viene effettuato, il gruppo minaccia non solo di rilasciare pubblicamente il miliardo di record, ma anche di collaborare con studi legali in contenziosi contro Salesforce e di segnalare la società alle autorità di regolamentazione della protezione dei dati in Europa e negli Stati Uniti (GDPR, CCPA).

“La tattica della doppia estorsione si è evoluta in una tripla o quadrupla estorsione: minacciano la core company, le aziende clienti e promettono ancora di armare di prove i regolatori È una dimostrazione di forza che mette in allerta l'intera industria SaaS in”, aggiunge Cerqueira. “Le difese tradizionali sono insufficienti contro gli avversari che sfruttano la fiducia come principale vettore di attaccoL'unica risposta efficace è l'intelligenza proattiva, il monitoraggio dell'ecosistema dei partner e della malavita criminale per anticipare queste mosse prima che si materializzino in una crisi di proporzioni globali.”