El colectivo de ciberdelincuentes autodenominado Scattered LAPSUS$ Hunters se está adjudicando el robo de datos de alrededor de 40 organizaciones a nivel mundial y asegura que publicará la información a más tardar el 10 de octubre si sus víctimas no negocian un rescate.
Este fin de semana, un nuevo incidente de ciberseguridad sacudió a la industria tecnológica a nivel global. Las pandillas de hackers Lapsus$, Scattered Spider y ShinyHunters revelaron que trabajando juntos en los últimos meses han robado aproximadamente mil millones de registros de empresas que almacenan los datos de sus clientes en las bases de la nube de Salesforce y están amenazando con publicar la información sustraída si las compañías afectadas no acceden a negociar un rescate.
El colectivo de hackers, que ahora se hace llamar Scattered LAPSUS$ Hunters, lanzó este viernes 3 de octubre un sitio web en la dark web desde el cual está extorsionando a sus víctimas. En la página principal del portal aparece una leyenda que dice: “No sea el próximo caso sonado en las noticias. Contáctenos para recuperar el control de la gobernanza de datos y evitar la divulgación pública de su información”.
Adicionalmente, en el mensaje de amenaza, el grupo de hackers advierte que las víctimas tienen hasta el 10 de octubre para cumplir con sus exigencias o “habrá consecuencias”.
El investigador de seguridad Kevin Beaumont señaló que los hackers publicaron pequeños fragmentos de las bases de datos que fueron robadas como prueba de su autenticidad. Además, el grupo de hackers advirtió que si Salesforce no les paga una cantidad que no fue revelada, también enviarán documentación a reguladores europeos y autoridades estadounidenses para denunciar las supuestas “fallas de seguridad” de la empresa que permitieron que accedieran a la información de sus clientes.
El origen de los ciberataques
El colectivo de hackers afirmó que no vulneró directamente los servidores de Salesforce, sino que atacó a clientes de la plataforma mediante tácticas de ingeniería social, principalmente a través de ataques de vishing. Este método de hackeo se basa en estafas realizadas vía llamada telefónica, en las cuales se engaña a las víctimas haciéndose pasar por empleados de soporte técnico para que instalen versiones apócrifas de herramientas de Salesforce como Data Loader, las cuales posteriormente son utilizadas para robar sus credenciales e ingresar a las bases de datos de la compañía para la que trabajan.
Según investigadores del Equipo de Inteligencia Contra Amenazas de Google, este incidente forma parte de una campaña de robo de datos del colectivo Scattered LAPSUS$ Hunters que comenzó hace meses, la cual se basa en atacar específicamente a empresas que operan en la infraestructura de Salesforce.
Entre las compañías afectadas más reconocidas se encuentran Google, Allianz Life, Qantas, TransUnion, Stellantis, Workday, Kering, FedEx, Toyota, Disney (a través de la plataforma de Hulu), McDonald’s, Adidas, HBO Max, Walgreens y KFC. Según los reportes, la información robada incluye nombres, correos electrónicos, números telefónicos, direcciones y en algunos casos, datos de identificación más sensibles.
¿Qué ha dicho Salesforce de los hackers que amenazan con publicar datos de sus clientes?
Salesforce, por su parte, se pronunció respecto a la nueva página web de los hackers mediante un comunicado publicado por la portavoz oficial de la compañía, Nicole Aranda, en el que la ejecutiva aseguró que el líder en software de gestión de relaciones con clientes no ha sido hackeado.
“Estamos al tanto de los recientes intentos de extorsión por parte de actores de amenazas. Sin embargo, nuestros hallazgos indican que estos intentos se relacionan con incidentes pasados o sin fundamento y seguimos en contacto con los clientes afectados para brindarles soporte”, se lee en la publicación.
“Por el momento, no hay indicios de que la plataforma Salesforce haya sido comprometida ni de que esta actividad esté relacionada con alguna vulnerabilidad conocida en nuestra tecnología”, puntualizó Aranda.
Además de lo anterior, la portavoz añadió que Salesforce está colaborando con autoridades y expertos en ciberseguridad para identificar a los responsables detrás del desarrollo del sitio web que están utilizando los hackers para extorsionar a sus clientes. Así mismo, exhortó a sus clientes a mantenerse alerta ante intentos de phishing u otros tipos de ataques de ingeniería social, reforzando sus protocolos de seguridad.
¿Qué sigue?
A menos de una semana de que se cumpla el plazo que los hackers dieron a las empresas para negociar el rescate de su información, las organizaciones afectadas enfrentan el dilema de pagar el rescate o arriesgarse a una filtración masiva de sus datos que podría desatar investigaciones regulatorias, demandas colectivas y un daño irreversible a su reputación.
A medida que esto se define, algunos expertos aseguran que si Scattered LAPSUS$ Hunters cumple su amenaza y decide publicar los mil millones de registros robados, el incidente podría convertirse en una de las mayores filtraciones de datos de toda la historia.
