A Salesforce anunciou que não pagará um resgate exigido por um grupo de cibercriminosos que alega ter roubado cerca de 1 bilhão de registros de seus clientes. O grupo, conhecido como Scattered LAPSUS$ Hunters, estabeleceu um prazo até sexta-feira para o pagamento a fim de evitar vazamentos de dados. Essa posição ocorre em meio a um aumento de incidentes globais de ransomware e alertas de especialistas contra o financiamento de criminosos.
A campanha de extorsão começou em maio, quando o grupo de ameaças fez chamadas de voz para organizações que utilizam a plataforma Salesforce, de acordo com o relatório de junho da Mandiant, de propriedade do Google. Os chamadores falantes de inglês usaram pretextos para enganar os alvos a conectarem aplicativos controlados pelos atacantes aos seus portais Salesforce, com muitos cumprindo.
O grupo, uma mistura de atores incluindo Scattered Spider, LAPSuS$ e ShinyHunters, se autodenomina Scattered LAPSUS$ Hunters, enquanto a Mandiant o rastreia como UNC6040 devido a conexões pouco claras. No início deste mês, eles lançaram um site nomeando Toyota, FedEx e 37 outros clientes da Salesforce como vítimas, alegando ter roubado '989.45m/~1B+' de registros. O site exigiu que a Salesforce negociasse um resgate, afirmando: “Ninguém mais terá que nos pagar, se você pagar, Salesforce, Inc.” Ele alertou que a falha em pagar até sexta-feira levaria a vazamentos de dados.
Em um e-mail de quarta-feira, um representante da Salesforce confirmou: “Posso confirmar que a Salesforce não se envolverá, negociará ou pagará qualquer exigência de extorsão.” Isso seguiu um relatório da Bloomberg de que a Salesforce havia informado os clientes de sua recusa, citando “inteligência de ameaças credível” sobre os planos da ShinyHunters de publicar os dados roubados.
A decisão se alinha com a crescente crítica aos pagamentos de ransomware, que totalizaram US$ 813 milhões globalmente no ano passado, uma queda em relação aos US$ 1,1 bilhão em 2023, segundo estimativas da Deepstrike. Uma violação na distribuidora de medicamentos Cencora supostamente rendeu US$ 75 milhões em pagamentos. O pesquisador de segurança Kevin Beaumont instou: “As corporações não devem financiar diretamente o crime organizado com o apoio da Agência Nacional de Crime e seus seguros. Quebrem o ciclo.” Ele observou preocupações com a NCA do Reino Unido recomendando contra pagamentos enquanto alegadamente está presente em algumas negociações, alertando que isso complica as defesas contra tais ameaças.