ZenoX розкриває деталі глобальної хакерської атаки, в результаті якої було викрадено до 1,5 мільярда записів

Цифровий GHOSTs“ Lapsus$ повернувся, більш складний і з чіткою метою: цифровий ланцюжок постачанн Новий звіт розвідки про загрози від ZenoX, стартапу з кібербезпеки від Dfense Group, показує, що це відгалуження сумнозвісного самозваного колективу “розсіяний Lapsus$ Мисливці”, стоїть за однією з найбільших атак на ланцюжок поставок, коли-небудь задокументованих, що компрометує між 989 мільйонів і 1, 5 мільярда корпоративних записів досліджуючи інтеграцію платформи Salesforce.

Дослідження, під назвою “Цифрові привиди: метаморфоза Lapsus$ у Scattered Hunters”, докладно розповідає про те, як група еволюціонувала від хаотичної тактики, яка паралізувала таких гігантів, як Microsoft, Nvidia та Міністерство охорони здоров’я між 2021 і 2022 роками, до фінансово вмотивованої та стратегічно сформульованої злочинної операці Розслідування ZenoX вказує на те, що нещодавня кампанія використала вразливість в інтеграції між Salesforce і платформа залучення продажів Salesloft Drift.

Використовуючи лазівки в цифровому ланцюжку поставок, злочинці скомпрометували Salesloft і отримали токени доступу (OAuth), здатні обійти багатофакторну автентифікацію (MFA), прокладаючи шлях для злому екземплярів Salesforce, які використовували сотні корпорацій (Google AdSense, Cisco), авіація (Qantas, Air France, KLM, FedEx), роздрібна (Home Depot, IKEA), розкіш (Луї Віттон, Шанель, Діор, Картьє), автомобільний (Тойота, Стеллантіс), годування (Макдональдс, KFC), ЗМІ та розваги (Disney/Hulu, HBO Max) і фінанси (Allianz Life, TransUnion), серед інших.

“O те, що ми спостерігаємо, - це дозрівання привида Оригінальний Lapsus$, сформований підлітками, довів, що добре виконана соціальна інженерія була більш руйнівною, ніж будь-яке складне шкідливе програмн епер, його наступники Scattered Lapsus$ Hunters засвоїли урок, приєдналися до інших досвідчених груп, таких як Scattered Spider і ShinyHunters, і індустріалізували метод ”, аналізує Ana Cerqueira, CRO da Zeno “Сотні продемонстрували, що найслабша ланка більше не просто неуважний співробітник, але довіра, яку ми вклали у взаємопов'язані програмні екосистеми, щоб увійти як ключ, полягала в тому, щоб приєднатися до Salesm.”

У звіті ZenoX детально описано, що розкриті дані дуже чутливі та включають повні імена, номери соціального страхування (SSN), дати народження, інформацію про водійські права, електронні листи, телефони, історію покупок, вміст квитків підтримки, ключі API, маркери доступу та інші корпоративні облікові дані.

Мотивація групи була чіткою в ультиматумі: кіберзлочинці вимагали оплати 20 Біткоіни (близько US$1.3 млн) безпосередньо від Salesforce, встановлюючи кінцевий термін для 10 жовтня 2025 р. якщо платіж не буде здійснений, група погрожує не тільки публічно оприлюднити мільярд записів, але й співпрацювати з юридичними фірмами в судових процесах проти Salesforce і повідомляти про компанію регуляторам захисту даних у Європі та США (GDPR, CCPA).

“Тактика подвійного вимагання перетворилася на потрійне або чотириразове вимагання: вони загрожують основній компанії, компаніям-клієнтам і все ще обіцяють озброїти регулятори доказам е демонстрація сили, яка ставить всю індустрію SaaS в стан тривоги, додає Серкейр ”Традиційний захист недостатній проти супротивників, які використовують довіру як головний вектор атак Єдиною ефективною відповіддю є проактивна розвідка, моніторинг екосистеми партнера та злочинного світу, щоб передбачити ці кроки, перш ніж вони матеріалізуються в кризу глобальних пропорці “