Salesforce refuse la demande d'extorsion liée à une brèche de 1 milliard de dossiers
Salesforce a annoncé qu'elle ne paiera pas de rançon exigée par un groupe de cybercriminels affirmant avoir volé environ 1 milliard de dossiers de ses clients. Le groupe, connu sous le nom de Scattered LAPSUS$ Hunters, a fixé une échéance au vendredi pour le paiement afin d'éviter les fuites de données. Cette position intervient alors que les incidents de ransomwares augmentent à l'échelle mondiale et que les experts mettent en garde contre le financement des criminels.
La campagne d'extorsion a commencé en mai, lorsque le groupe de menaces a passé des appels vocaux à des organisations utilisant la plateforme Salesforce, selon le rapport de juin de Mandiant, propriété de Google. Les appelants anglophones ont utilisé des prétextes pour tromper les cibles et les inciter à connecter des applications contrôlées par les attaquants à leurs portails Salesforce, beaucoup y ayant consenti.
Le groupe, un mélange d'acteurs incluant Scattered Spider, LAPSuS$ et ShinyHunters, se désigne sous le nom de Scattered LAPSUS$ Hunters, tandis que Mandiant le suit sous le nom d'UNC6040 en raison de liens peu clairs. Au début de ce mois, ils ont lancé un site web nommant Toyota, FedEx et 37 autres clients de Salesforce comme victimes, affirmant avoir volé '989.45m/~1B+' de dossiers. Le site a exigé que Salesforce négocie une rançon, déclarant : « Personne d'autre n'aura à nous payer, si vous payez, Salesforce, Inc. » Il a averti que l'échec à payer d'ici vendredi entraînerait des fuites de données.
Dans un e-mail de mercredi, un représentant de Salesforce a confirmé : « Je peux confirmer que Salesforce n'engagera pas, ne négociera pas et ne paiera aucune demande d'extorsion. » Cela a suivi un rapport de Bloomberg indiquant que Salesforce avait informé ses clients de son refus, citant des « renseignements sur les menaces crédibles » concernant les plans de ShinyHunters de publier les données volées.
Cette décision s'aligne sur la critique croissante des paiements de ransomwares, qui ont totalisé 813 millions de dollars dans le monde l'année dernière, en baisse par rapport à 1,1 milliard de dollars en 2023, selon les estimations de Deepstrike. Une brèche chez le distributeur de médicaments Cencora aurait rapporté 75 millions de dollars en paiements. Le chercheur en sécurité Kevin Beaumont a exhorté : « Les entreprises ne devraient pas financer directement le crime organisé avec le soutien de l'Agence nationale du crime et de leurs assurances. Brisez le cycle. » Il a noté des préoccupations concernant la NCA du Royaume-Uni recommandant contre les paiements tout en étant allegedly présente dans certaines négociations, avertissant que cela complique les défenses contre de telles menaces.