Dopo mesi di silenzio e una serie di arresti che avevano fatto pensare a un ridimensionamento delle attività, il collettivo di hacker noto come Scattered LAPSUS$ Hunters è riemerso dalle acque torbide del cybercrimine con un’operazione su larga scala. Questa volta nel mirino finisce Salesforce con la massiccia campagna di compromissione supply-chain delle scorse settimane, e la posta in gioco è altissima: quasi un miliardo di dollari. Il gruppo ha lanciato un ultimatum con scadenza 10 ottobre, minacciando di rendere pubblici quasi un miliardo di record di clienti se la compagnia non accetterà di pagare un riscatto da 989,45 milioni di dollari.
La nuova estorsione di Scattered LAPSUS$ Hunters
La nuova campagna di estorsione è stata annunciata attraverso un sito di leak dedicato, dove gli hacker hanno pubblicato un elenco di circa quaranta ambienti Salesforce corporate, dimostrando di possedere un bottino di dati sensibili di dimensioni impressionanti. Una mossa calcolata, che mira a massimizzare la pressione mediatica e negoziale su una delle piattaforme di customer relationship management più utilizzate a livello globale.
Salesforce, dal canto suo, ha risposto attraverso i canali ufficiali, affermando di essere a conoscenza della tentata estorsione e di aver condotto un’indagine approfondita in collaborazione con esperti esterni e le autorità competenti. In un notification update pubblicato sul proprio status page, l’azienda ha cercato di smorzare i toni dell’allarme, specificando che gli incidenti in questione sono riconducibili a episodi già noti o non confermati, e che non sono state rilevate prove di una compromissione diretta della propria infrastruttura. Salesforce ha inoltre precisato che l’attacco non è legato a vulnerabilità nei suoi prodotti, ma ha ammesso di stare fornendo supporto ai clienti coinvolti.
Cosa era successo?
Le radici di questa crisi affondano in eventi di agosto, quando emerse che i criminali avevano sfruttato token OAuth attraverso l’integrazione Drift in Salesloft. Questa tecnica aveva permesso loro di accedere illegittimamente a numerose istanze Salesforce. Cloudflare aveva all’epoca quantificato il danno in “centinaia di organizzazioni” colpite, con furto di informazioni sui clienti in diversi casi. L’indagine su quegli incidenti era stata affidata a Mandiant, ingaggiata da Salesloft, mentre Google Threat Intelligence Group aveva successivamente confermato la portata degli abusi.
Già ad agosto, Google nel suo report aveva attribuito le intrusioni negli ambienti Salesforce al gruppo ShinyHunters e aveva previsto esplicitamente la comparsa di un sito di leak, interpretando la nuova ondata di pubblicazioni come un tentativo di aumentare la leva negoziale sulle vittime colpite dalle attività di UNC6040. In quei giorni, era apparso su Telegram un canale effimero chiamato Scattered LAPSUS$ Hunters, che riuniva sotto un’unica bandiera le entità di Scattered Spider, ShinyHunters e Lapsus$. Il canale, però, ebbe vita breve, venendo rimosso nel giro di pochi giorni.
La situazione si era ulteriormente complicata a metà settembre, quando alcuni esponenti di Scattered Spider e Lapsus$ avevano annunciato pubblicamente il proprio ritiro dalle scene, dichiarando di volersi “godere i milioni accumulati”. Ma la quiete è durata poco. Poco dopo, due adolescenti britannici sono stati incriminati per attacchi all’infrastruttura del Transport for London, con investigatori statunitensi e britannici che li hanno collegati a Scattered Spider. Un altro minorenne si è consegnato alla polizia di Las Vegas il 17 settembre, sospettato di aver partecipato agli attacchi contro casinò nel 2023 anch’essi attribuiti al gruppo.
Screzzi tra bande rivali
Ovviamente anche nel gruppo non mancano le corribande: su X infatti l’account che dal 2023 segue le azioni del collettivo LAPSUS$, prende le distanze dal nuovo gruppo emerso di recente con le rivendicazioni Salesforce. Con una serie di frecciattine chiarisce che non farebbe parte del gruppo LAPSUS$ originale, e identifica anche il nuovo sito con critiche tecniche alla gestione infrastrutturale:
Interpellati dai giornalisti, i portavoce della nuova entità che si fa chiamare SLH/SLSH Press Newsroom hanno rifiutato di entrare nel merito dei dettagli operativi, limitandosi a confermare che la decisione di tornare attivi è “legata ai recenti arresti”. Nessun commento è stato fornito sulla struttura del gruppo o sull’origine precisa dei dati sottratti.
Nel frattempo, la stessa ombra di Scattered LAPSUS$ Hunters è comparsa in un altro incidente di sicurezza di alto profilo, quello che ha coinvolto Discord. La piattaforma ha confermato una violazione dati tramite un fornitore esterno del servizio di supporto clienti, probabilmente la piattaforma Zendesk. Anche in questo caso, il gruppo ha rivendicato l’attacco, affermando di aver trafugato ticket di supporto contenenti una mole significativa di informazioni personali, incluse immagini di documenti d’identità come passaporti e patenti di guida, indirizzi IP e dati di pagamento parziali.
Questa strategia a doppio binario – colpire sia i provider di servizi enterprise come Salesforce sia le piattaforme di comunicazione come Discord – dimostra una notevole versatilità operativa e una chiara volontà di mantenere alta la pressione sul mercato nero dei dati, nonostante le recenti battute d’arresto legali. La scadenza del 10 ottobre per Salesforce si avvicina, e la comunità della sicurezza osserva per vedere se questa volta il gigante del cloud cederà alla richiesta o se, come sempre più spesso accade, opterà per la via della resistenza e della collaborazione con le forze dell’ordine. La partita è aperta, e i dati di milioni di utenti sono la posta in palio.