Salesforce rechaza demanda de extorsión por brecha de 1.000 millones de registros
Salesforce ha anunciado que no pagará un rescate exigido por un grupo de ciberdelincuentes que afirma haber robado alrededor de 1.000 millones de registros de sus clientes. El grupo, conocido como Scattered LAPSUS$ Hunters, estableció un plazo hasta el viernes para el pago a fin de evitar filtraciones de datos. Esta postura se produce en medio de un aumento de incidentes globales de ransomware y advertencias de expertos contra la financiación de criminales.
La campaña de extorsión comenzó en mayo, cuando el grupo de amenazas realizó llamadas de voz a organizaciones que utilizan la plataforma Salesforce, según el informe de junio de Mandiant, propiedad de Google. Los llamantes, que hablaban en inglés, utilizaron pretextos para engañar a los objetivos y hacer que conectaran aplicaciones controladas por los atacantes a sus portales de Salesforce, y muchos accedieron.
El grupo, una mezcla de actores que incluye Scattered Spider, LAPSuS$ y ShinyHunters, se autodenomina Scattered LAPSUS$ Hunters, mientras que Mandiant lo rastrea como UNC6040 debido a conexiones poco claras. A principios de este mes, lanzaron un sitio web que nombra a Toyota, FedEx y 37 otros clientes de Salesforce como víctimas, afirmando haber robado '989,45m/~1.000 millones+' de registros. El sitio exigió que Salesforce negociara un rescate, declarando: “Nadie más tendrá que pagarnos, si pagas tú, Salesforce, Inc.” Advertía que el incumplimiento del pago para el viernes llevaría a filtraciones de datos.
En un correo electrónico del miércoles, un representante de Salesforce confirmó: “Puedo confirmar que Salesforce no se involucrará, negociará ni pagará ninguna demanda de extorsión.” Esto siguió a un informe de Bloomberg que indicaba que Salesforce había informado a sus clientes de su negativa, citando “inteligencia de amenazas creíble” sobre los planes de ShinyHunters de publicar los datos robados.
La decisión se alinea con la creciente crítica a los pagos de ransomware, que totalizaron 813 millones de dólares a nivel global el año pasado, una disminución desde los 1.100 millones de dólares en 2023, según estimaciones de Deepstrike. Una brecha en el distribuidor de medicamentos Cencora supuestamente generó 75 millones de dólares en pagos. El investigador de seguridad Kevin Beaumont instó: “Las corporaciones no deberían financiar directamente el crimen organizado con el apoyo de la Agencia Nacional del Crimen y sus seguros. Rompan el ciclo.” Notó preocupaciones sobre la NCA del Reino Unido recomendando contra los pagos mientras supuestamente está presente en algunas negociaciones, advirtiendo que complica las defensas contra tales amenazas.