ZenoX сообщает о глобальной хакерской атаке, в результате которой было скомпрометировано до 1,5 миллиарда записей

Цифровые GHOSTS“ Lapsus$ вернулись, стали более сложными и имеют четкую цель: цифровую цепочку поставок. Новый отчет об анализе угроз от ZenoX, стартапа в области кибербезопасности из Dfense Group, показывает, что является ответвлением печально известного, самопровозглашенного коллектива “cattered Lapsus$ Охотники”, стоит за одной из крупнейших когда-либо задокументированных атак на цепочку поставок, ставящей под угрозу отношения между ними 989 миллионов и 1,5 миллиарда корпоративных отчетов изучая интеграцию платформ Salesforce.

Исследование, названное “Цифровые призраки: Метаморфоза Lapsus$ в Scattered Hunters”, подробно описывает, как группа превратилась из хаотичной тактики, которая парализовала таких гигантов, как Microsoft, Nvidia и Министерство здравоохранения, в период с 2021 по 2022 год, в финансово мотивированную и стратегически сформулированную преступную операцию. Расследование ZenoX показывает, что недавняя кампания использовала уязвимость в интеграция между análises preditivas и платформа взаимодействия с продажами Сейлслофт Дрифт.

Используя лазейки в цифровой цепочке поставок, преступники скомпрометировали Salesloft и получили токены доступа (OAuth), способные обходить многофакторную аутентификацию (MFA), открывая путь для взлома экземпляров Salesforce, используемых сотнями корпораций (Google AdSense, Cisco), авиация (Qantas, Air France, KLM, FedEx), розничная торговля (Домашнее депо, IKEA), роскошь (Луи Виттон, Шанель, Диор, Картье), автомобильный (Тойота, Стеллантис), кормление (Макдональдс, KFC), СМИ и развлечения (Дисней/Хулу, HBO Max) и финансы (Allianz Life, TransUnion), среди прочих.

“O то, что мы наблюдаем, - это взросление призрака Оригинальный Lapsus$, сформированный подростками, доказал, что хорошо выполненная социальная инженерия была более разрушительной, чем любое сложное вредоносное ПО Теперь его преемники Scattered Lapsus$ Hunters усвоили урок, присоединились к другим опытным группам, таким как Scattered Spider и ShinyHunters, и индустриализировали метод”, анализирует Ana Cerqueira, CRO da ZenoX. “Сотни продемонстрировали, что самое слабое звено больше не является просто невнимательным сотрудником, но доверие, которое мы оказали взаимосвязанным программным экосистемам, чтобы войти в качестве ключа, заключалось в присоединении к Salesm.”

В отчете ZenoX подробно описывается, что раскрытые данные имеют очень высокую чувствительность и включают полные имена, номера социального страхования (SSN), даты рождения, информацию о водительских правах, электронные письма, телефоны, историю покупок, содержимое билетов поддержки, ключи API, токены доступа и другие корпоративные учетные данные.

Мотивация группировки была ясна в ультиматуме: киберпреступники требовали оплаты 20 биткойнов (около US$1,3 млн) непосредственно из Salesforce, устанавливая крайний срок 10 октября 2025 г.. если оплата не будет произведена, группа угрожает не только публично обнародовать миллиард записей, но и сотрудничать с юридическими фирмами в судебных процессах против Salesforce и сообщить о компании регуляторам защиты данных в Европе и США (GDPR, CCPA).

“Тактика двойного вымогательства превратилась в тройное или четверное вымогательство: они угрожают основной компании, компаниям-клиентам и все еще обещают вооружить регуляторов доказательствами Это демонстрация силы, которая приводит всю индустрию SaaS в состояние боевой готовности, добавляет Серкейра. ”Традиционные средства защиты недостаточны против против противников, эксплуатирующих доверие в качестве основного вектора атаки.Единственным эффективным ответом является упреждающий интеллект, отслеживающий партнерскую экосистему и преступный мир, чтобы предвидеть эти шаги, прежде чем они материализуются в кризис глобальных масштабов.“