Os “fantasmas digitais” do Lapsus$ estão de volta, mais sofisticados e com um alvo claro: a cadeia de suprimentos digital. Um novo relatório de inteligência de ameaças da ZenoX, startup de cibersegurança do Grupo Dfense, revela que uma ramificação do infame coletivo, autodenominada “Scattered Lapsus$ Hunters”, está por trás de um dos maiores ataques à cadeia de suprimentos já documentados, comprometendo entre 989 milhões e 1,5 bilhão de registros corporativos ao explorar integrações da plataforma Salesforce.
研究,称为 “Fantasmas Digitais: A Metamorfose do Lapsus$ em Scattered Hunters”, detalha como o grupo evoluiu das táticas caóticas que paralisaram gigantes como Microsoft, Nvidia e o Ministério da Saúde entre 2021 e 2022 para uma operação criminosa financeiramente motivada e estrategicamente articulada. A investigação da ZenoX aponta que a campanha recente explorou uma vulnerabilidade na integração entre a Salesforce 和销售参与平台 Salesloft Drift.
Ao explorar brechas na cadeia de suprimentos digital, os criminosos comprometeram a Salesloft e obtiveram tokens de acesso (OAuth) capazes de burlar a autenticação multifator (MFA), abrindo caminho para invadir instâncias da Salesforce usadas por centenas de corporações. A lista de vítimas inclui gigantes da tecnologia (Google AdSense, Cisco), aviação (Qantas, 法国航空, KLM, 联邦快递), 零售 (家得宝,宜家), 奢侈 (路易威登,香奈儿,迪奥,卡地亚), 汽车的 (Toyota, Stellantis), alimentação (McDonald’s, KFC), mídia e entretenimento (迪士尼/ Hulu, HBO Max) e finanças (安联人寿,TransUnion), 其他等。.
“O que estamos testemunhando é a maturação de um fantasma. O Lapsus$ original, formado por adolescentes, provou que a engenharia social bem executada era mais devastadora que qualquer malware complexo. Agora, seus sucessores do Scattered Lapsus$ Hunters aprenderam a lição, uniram-se a outros grupos experientes como Scattered Spider e ShinyHunters, e industrializaram o método”, analisa Ana Cerqueira, CRO da ZenoX. “Eles demonstraram que o elo mais fraco não é mais apenas um funcionário desatento, mas a confiança que depositamos em ecossistemas de software interconectados. Atacar uma plataforma SaaS como a Salesloft foi como encontrar uma chave-mestra para entrar em centenas de empresas de uma só vez.”
O relatório da ZenoX detalha que os dados expostos são de altíssima sensibilidade e incluem nomes completos, números de Seguro Social (SSNs), datas de nascimento, informações de carteiras de motorista, e-mails, telefones, histórico de compras, conteúdo de tickets de suporte, chaves de API, tokens de acesso e outras credenciais corporativas.
A motivação do grupo ficou clara em um ultimato: os cibercriminosos exigiram o pagamento de 20 bitcoins (cerca de US$1,3 milhão) 直接来自Salesforce,设定最后期限为 2025年10月10日. Caso o pagamento não seja efetuado, o grupo ameaça não apenas liberar publicamente o bilhão de registros, mas também cooperar com escritórios de advocacia em litígios contra a Salesforce e denunciar a empresa a reguladores de proteção de dados na Europa e nos EUA (GDPR, CCPA).
“A tática da dupla extorsão evoluiu para uma extorsão tripla ou quádrupla: eles ameaçam a empresa principal, as empresas clientes e ainda prometem armar os reguladores com evidências. É uma demonstração de força que coloca toda a indústria de SaaS em alerta”, complementa Cerqueira. “As defesas tradicionais são insuficientes contra adversários que exploram a confiança como principal vetor de ataque. A única resposta eficaz é a inteligência proativa, monitorando o ecossistema de parceiros e o submundo do crime para antecipar esses movimentos antes que eles se materializem em uma crise de proporções globais.”
Portuguese (Brazil) 
English 
Spanish 
German 
Chinese (Hong Kong) 
Russian 
Hindi 
French 
Italian 
Japanese 
Arabic 
Chinese (Taiwan) 
Bengali 
Bulgarian 
Czech 
Danish 
Greek 
Finnish 
Croatian 
Hungarian 
Indonesian 
Korean 
Lithuanian 
Dutch 
Norwegian 
Polish 
Portuguese (Angola) 
Portuguese (Portugal) 
Romanian 
Slovak 
Slovenian 
Swedish 
Thai 
Turkish 
Ukrainian 
Vietnamese 
Chinese (China)