ZenoX avslöjar globalt hackerangrepp som exponerade upp till 1,5 miljarder register

Lapsus$ digitala GHOSTs“ är tillbaka, mer sofistikerade och med ett tydligt mål: den digitala leveranskedjan.En ny hotintelligensrapport från ZenoX, en cybersäkerhetsstartup från Dfense Group, avslöjar att en utlöpare av det ökända, självutformade kollektivet “cattered Lapsus$ Hunters”, Ligger bakom en av de största attackerna i försörjningskedjan som någonsin dokumenterats, och kompromissar mellan 989 miljoner och 1,5 miljarder företagsrekord genom att utforska Salesforce-plattformsintegrationer.

Studien, kallad “Digital Ghosts: Metamorfosen av Lapsus$ till Scattered Hunters”, beskriver hur gruppen utvecklades från kaotisk taktik som förlamade jättar som Microsoft, Nvidia och hälsoministeriet mellan 2021 och 2022 till en ekonomiskt motiverad och strategiskt artikulerad kriminell operation. ZenoX-utredningen påpekar att den senaste kampanjen utnyttjade en sårbarhet i integrationen mellan Salesforce och säljingreppsplattformen Salesloft Drift.

Genom att utnyttja kryphål i den digitala försörjningskedjan äventyrade brottslingarna Salesloft och fick åtkomsttokens (OAuth) som kunde kringgå multifaktorautentisering (MFA), vilket banade väg för hackning i fall av Salesforce som används av hundratals företag (Google AdSense, Cisco), flyg (Qantas, Air France, KLM, FedEx), detaljhandel (Home Depot, IKEA), lyx (Louis Vuitton, Chanel, Dior, Cartier), fordon (Toyota, Stellantis), matning (McDonald's, KFC), media och underhållning (Disney/Hulu, HBO Max) och finans (Allianz Life, TransUnion), bland andra.

“O vad vi bevittnar är mognaden av ett spöke.Den ursprungliga Lapsus$, bildad av tonåringar, bevisade att väl genomförd social ingenjörskonst var mer förödande än någon komplex skadlig programvara.Nu, dess efterföljare till Scattered Lapsus$ Hunters lärde sig läxan, gick med andra erfarna grupper som Scattered Spider och ShinyHunters, och industrialiserade den”, analyserar Ana Cerqueira, CRO da ZenoX. “Hundratals har visat att den svagaste länken inte längre bara är en ouppmärksam anställd, men det förtroende vi har lagt i sammankopplade mjukvaruekosystem att gå in som en nyckel var att gå med i en Salesm.”

ZenoX-rapporten beskriver att den exponerade informationen är av mycket hög känslighet och inkluderar fullständiga namn, personnummer (SSN), födelsedatum, körkortsinformation, e-postmeddelanden, telefoner, köphistorik, supportbiljettinnehåll, API-nycklar, åtkomsttokens och andra företagsuppgifter.

Gruppens motivation var tydlig i ett ultimatum: cyberbrottslingar krävde betalning av 20 Bitcoins (cirka US$1,3 miljoner) direkt från Salesforce, sätter en deadline för 10 oktober 2025. om betalning inte görs hotar gruppen inte bara att offentligt släppa miljardposterna, utan också att samarbeta med advokatbyråer i rättstvister mot Salesforce och rapportera företaget till dataskyddsregulatorer i Europa och USA (GDPR, CCPA).

“Den dubbla utpressningstaktiken har utvecklats till en trippel eller fyrdubbel utpressning: de hotar kärnföretaget, kundföretagen och lovar fortfarande att beväpna tillsynsmyndigheter med bevis Det är en kraftuppvisning som sätter hela SaaS-industrin på” alert, tillägger Cerqueira. “Traditionella försvar är otillräckliga mot motståndare som utnyttjar förtroende som den huvudsakliga attackvektorn.Det enda effektiva svaret är proaktiv intelligens, övervakning av partnerns ekosystem och den kriminella undre världen för att förutse dessa rörelser innan de materialiseras till en kris av globala proportioner.”