Utpressningskampanjen började i maj, när hotgruppen ringde röstsamtal till organisationer som använder Salesforce-plattformen, enligt Google-ägda Mandiants rapport från juni. De engelsktalande uppringarna använde förevändningar för att lura målen att ansluta angriparkontrollerade appar till sina Salesforce-portaler, och många gick med på det.

Gruppen, en blandning av aktörer inklusive Scattered Spider, LAPSuS$ och ShinyHunters, kallar sig själva Scattered LAPSUS$ Hunters, medan Mandiant spårar dem som UNC6040 på grund av oklara kopplingar. Tidigare i månaden lanserade de en webbplats som namnger Toyota, FedEx och 37 andra Salesforce-kunder som offer, och påstår sig ha stulit '989.45m/~1B+' register. Webbplatsen krävde att Salesforce förhandlar om en lösensumma och angav: “Ingen annan behöver betala oss, om du betalar, Salesforce, Inc.” Den varnade för att utebliven betalning till fredag skulle leda till dataläckor.

I ett e-postmeddelande på onsdagen bekräftade en Salesforce-representant: “Jag kan bekräfta att Salesforce inte kommer att engagera sig i, förhandla med eller betala någon utpressningskrav.” Detta följde en Bloomberg-rapport om att Salesforce hade informerat kunder om sitt nekande, med hänvisning till “trovärdig hotintelligens” om ShinyHunters planer på att publicera de stulna datan.

Beslutet stämmer överens med den växande kritiken mot ransomware-betalningar, som totalt uppgick till 813 miljoner dollar globalt förra året, en minskning från 1,1 miljarder dollar 2023, enligt Deepstrikes uppskattningar. Ett intrång hos läkemedelsdistributören Cencora rapporterades ha gett 75 miljoner dollar i betalningar. Säkerhetsforskaren Kevin Beaumont uppmanade: “Företag bör inte direkt finansiera organiserad brottslighet med stöd från National Crime Agency och deras försäkringar. Bryt cykeln.” Han noterade oro över Storbritanniens NCA som rekommenderar mot betalningar samtidigt som de påstås vara närvarande i vissa förhandlingar, och varnade för att det komplicerar försvar mot sådana hot.