新的勒索软件团伙推出暗网泄密网站，公布42家受害公司，威胁截止日期为10月10日

“Scattered LAPSUS$ Hunters”是一个新的暗网勒索软件团伙，由三大勒索软件团伙Scattered Spider、Lapsus$和ShinyHunters合并而成，近期，该团伙推出了基于Tor的暗网数据泄露网站，其中包含42家受害公司。推出该暗网网站目的是迫使受害者向其付费，以避免被盗数据被公开发布。

该勒索软件团伙宣称已攻破Salesforce系统，通过针对Salesforce的供应链攻击窃取了其客户的约10亿条记录。该团伙指控Salesforce缺乏双重认证及OAuth防护机制，称逾百个实例遭入侵，并威胁将实施数据泄露、提起诉讼及披露技术细节。

目前其暗网泄密网站（http://shinypogk4jjniry5qi7247tznop6mxdrdte2k6pdu5cyo43vdzmrwid[.]onion）发布了42家公司，包括保险巨头安联人寿、墨西哥航空、开云集团、法国航空、谷歌、思科、Stellantis、澳洲航空、汽车巨头Stellantis、信用机构TransUnion以及员工管理平台Workday等，这些公司均因受到针对存在漏洞的Salesforce实例的攻击而被影响。

• FedEx – 1.1TB
• Aeroméxico – 172.95GB
• Qantas Airways – 153GB
• UPS – 91.34GB
• HMH – 88GB
• Vietnam Airlines – 63.62GB
• Toyota Motor Corporation – 64GB
• Stellantis – 59GB
• Air France & KLM – 51GB
• Republic Services – 42GB
• Adidas – 37GB
• Disney/Hulu – 36GB
• Canvas by Instructure – 35GB
• Instacart – 32GB
• McDonald’s – 28GB
• TripleA – 23GB
• TransUnion – 22GB
• Home Depot – 19.43GB
• Google AdSense – 19GB
• 1-800Accountant – 18GB
• Cisco – 5.6GB
• Marriott – 7GB
• Walgreens – 11GB
• Kering (Gucci, Balenciaga, etc.) – 10GB
• Petco – 9.9GB
• ASICS – 9GB
• Pandora – 8.3GB
• KFC – 1.3GB
• Saks Fifth – 1.1GB
• GAP Inc. – 1GB
• CarMax – 1.7GB
• Cartier – 1.4GB
• Chanel – 2GB
• Albertsons (Jewel Osco, etc.) – 2GB
• Engie Resources (Plymouth) – 3GB
• Puma – 3.1GB
• HBO Max – 3.2GB
• Fujifilm – 155MB
• IKEA – 13GB
• Red Hat – Multiple TBs
• CIC Vietnam – 1TB+
• S&P Global (spglobal.com) – 2-3TB+

“Scattered LAPSUS$ Hunters”团伙称，请Salesforce与其联系协商赎金事宜，否则所有客户数据将被泄露。如果达成协议，针对这些受害客户的单独勒索行为将被撤销，即若Salesforce支付赎金，将不再向其他客户索要款项；但如果Salesforce拒绝协商解决，该团伙将全面锁定网站列出所有受害客户勒索赎金。

“Scattered LAPSUS$ Hunters”团伙威胁道，拒绝配合将招致严重后果。请受害公司立即采取防护措施并与其联系解决问题。该团伙表示，千万不要以为SaaS供应商能保护所有人——他们不会，请勿成下一个头条新闻，请做出正确抉择与其取得联系。

该团伙在暗网网站留下一个邮箱（[email protected]），并表示受害企业可以通过企业域名发送邮件至该邮箱，以便快速完成身份验证。邮件主题需注明“VERIFICATION: [企业名称]”，如未按“VERIFICATION: [企业名称]”格式填写主题的邮件将被直接忽略，视为未尝试联系。该团伙称，完成身份验证后，将被引导至实时沟通渠道，并获得处理流程指引。

针对此次泄密，ShinyHunters还发布了一个明网域名：http://breachforums.hn，.hn是洪都拉斯的互联网国家代码顶级域名，目前该域名已经无法访问。

“暗网下/AWX”查看暗网网站泄露的样本后发现，大多数泄露的数据样本都缺少密码，但包含大量的PII数据，这或许可以证实，被盗数据确实源自存在漏洞的Salesforce实例，通过语音钓鱼攻击和用于Salesloft Drift AI聊天集成的OAuth令牌窃取而来。针对此类攻击，最近FBI发布了预警，概述了各企业应监控的技术指标，以确定攻击者是否已渗透到自身的Salesforce环境。

随着该团伙推出暗网泄密网站，财富100强企业、金融服务、科技、航空、零售和汽车行业数据泄露的总体情况才刚刚开始浮出水面。与近期集体声称的“退休”相反，“Scattered LAPSUS$ Hunters”团伙仍在持续对全球领先的大型企业进行协同攻击和勒索，其中有多起重大数据泄露事件尚未公开。该团伙声称，如果在10 月10日之后仍未付款，他们将更新数据泄露网站，且新的泄露数据将超过15亿条记录，这表明该团伙的真实影响范围可能远远超过迄今为止已知的范围。

Salesforce公司对此发布官方声明，声明中写道： “我们的调查结果表明，这些攻击尝试与过去或未经证实的事件有关，我们仍在与受影响的客户保持联系，以提供支持。目前，没有迹象表明Salesforce平台已被入侵，此次攻击活动也与我们技术中的任何已知漏洞无关。”

据网络安全专家称，网络犯罪分子可能会大规模利用窃取的数据进行恶意攻击，包括用于有害的人工智能 (AI) 应用程序。通过掌握受影响受害者及其所在行业的背景信息，威胁行为者可以进行数据挖掘，提取有价值的信息，并将受害者数据集与其他可用信息关联起来。这可能导致复杂的社会工程阴谋、有针对性的网络钓鱼活动和身份盗窃，尤其针对大型企业和政府部门。

“Scattered LAPSUS$ Hunters”团伙发布悬赏：替其发送勒索邮件奖励10美元

“Scattered LAPSUS$ Hunters”团伙正向其Telegram频道的订阅用户提供奖励：每发送一封邮件通知遭入侵企业高管，即可获得价值10美元的比特币。

该团伙甚至还制作了一封邮件模板供人们使用，底部附着一份毫无约束力的虚假法律声明。该团伙称，发送的邮件需告知该高管，他的企业数据已经泄露，信息发布在暗网上。

对此，有网友表示，任何参与者均构成犯罪共犯，应依法逮捕、审判并判刑。