恐喝キャンペーンは5月に始まり、脅威グループがSalesforceプラットフォームを使用する組織に音声通話をかけたもので、Google傘下のMandiantの6月レポートによるとである。英語を話す通話者は、標的を騙すために口実を使い、攻撃者制御のアプリをSalesforceポータルに接続させ、多くの組織が従った。

このグループは、Scattered Spider、LAPSuS$、ShinyHuntersを含むアクターの混合で、自身をScattered LAPSUS$ Huntersと呼び、Mandiantは不明瞭なつながりからUNC6040として追跡している。今月初め、彼らはウェブサイトを立ち上げ、トヨタ、FedEx、およびSalesforceの他の37人の顧客を被害者として名指しし、「989.45m/~1B+」の記録を盗んだと主張した。サイトはSalesforceに身代金の交渉を求め、「あなたが支払えば、Salesforce, Inc.、誰も他に支払う必要はありません」と述べた。金曜日までに支払わなければデータ漏洩すると警告した。

水曜日のメールで、Salesforceの代表者は確認した：「Salesforceは関与せず、交渉せず、またはいかなる恐喝要求も支払いませんことを確認できます。」これは、Bloombergの報道に続き、Salesforceが顧客に拒否を通知し、ShinyHuntersが盗まれたデータを公開する計画についての「信頼できる脅威インテリジェンス」を引用したものである。

この決定は、ランサムウェア支払いに対する批判の高まりと一致し、昨年グローバルで8億1300万ドルに達したが、2023年の11億ドルから減少した、Deepstrikeの推定による。一つの侵害で、医薬品卸売りのCencoraで7500万ドルの支払いが報告された。セキュリティ研究者のKevin Beaumontは促した：「企業は国家犯罪庁と保険の支援で組織犯罪を直接資金提供すべきではない。サイクルを断ち切れ。」彼は、英国のNCAが支払いに反対を推奨しつつ、一部の交渉に存在するとされる懸念を指摘し、それがこうした脅威に対する防御を複雑化すると警告した。