بدأت حملة الابتزاز في مايو، عندما أجرت مجموعة التهديد مكالمات صوتية إلى المنظمات التي تستخدم منصة ساليسفورس، وفقًا لتقرير مانديانت التابعة لجوجل في يونيو. استخدم المتحدثون باللغة الإنجليزية ذرائع لخداع الأهداف لربط تطبيقات يسيطر عليها المهاجمون ببوابات ساليسفورس الخاصة بهم، مع امتثال العديد.

المجموعة، التي هي مزيج من الجهات الفاعلة بما في ذلك Scattered Spider وLAPSuS$ وShinyHunters، تسمي نفسها Scattered LAPSUS$ Hunters، بينما تتابعها مانديانت كـUNC6040 بسبب الروابط غير الواضحة. في وقت سابق من هذا الشهر، أطلقوا موقعًا إلكترونيًا يسمي تويوتا وفيديكس و37 عميل آخر لساليسفورس كضحايا، مدعين سرقة '989.45m/~1B+' من السجلات. طالب الموقع ساليسفورس بالتفاوض على فدية، قائلًا: “لن يدفع أحد آخر لنا، إذا دفعت أنت، Salesforce, Inc.” حذر من أن عدم الدفع بحلول الجمعة سيؤدي إلى تسرب البيانات.

في بريد إلكتروني يوم الأربعاء، أكد ممثل عن ساليسفورس: “أستطيع التأكيد أن ساليسفورس لن تشارك أو تتفاوض أو تدفع أي طلب ابتزاز.” جاء ذلك بعد تقرير بلومبرج أفاد بأن ساليسفورس أبلغت عملاءها برفضها، مستشهدة بـ“معلومات استخباراتية موثوقة عن التهديد” حول خطط ShinyHunters لنشر البيانات المسروقة.

يتوافق القرار مع النقد المتزايد لمدفوعات البرمجيات الخبيثة، التي بلغت 813 مليون دولار عالميًا العام الماضي، انخفاضًا من 1.1 مليار دولار في 2023، وفقًا لتقديرات ديبستريك. أسفر اختراق واحد في موزع الأدوية سينكورا عن 75 مليون دولار في المدفوعات، على ما يُقال. حث الباحث الأمني كيفن بومونت: “لا يجب على الشركات تمويل الجريمة المنظمة مباشرة بدعم من وكالة الجريمة الوطنية وتأميناتها. كسروا الدورة.” لاحظ مخاوف بشأن وكالة الجريمة الوطنية البريطانية التي توصي ضد المدفوعات بينما يُزعم وجودها في بعض المفاوضات، محذرًا من أن ذلك يعقد الدفاعات ضد مثل هذه التهديدات.