Título: Salesforce se recusa a pagar resgate por ataques generalizados de roubo de dados - Against Invaders - Notícias de CyberSecurity para humanos.
Data: 2025-10-08 07:43:25
Autor: Inteligência Against Invaders
URL: https://datalake.azaeo.com/news-againstinvaders-com/07dd3cac6e2b9d2afc210bb6db0142d1/salesforce-se-recusa-a-pagar-resgate-por-ataques-generalizados-de-roubo-de-dados-against-invaders-noticias-de-cybersecurity-para-humanos/2087/

A Salesforce confirmou que n&atilde;o negociar&aacute; ou pagar&aacute; um resgate aos agentes de amea&ccedil;as por tr&aacute;s de uma onda massiva de ataques de roubo de dados que afetou os clientes da empresa este ano.
Conforme relatado pela primeira vez por Bloomberg, a Salesforce enviou um e-mail aos clientes na ter&ccedil;a-feira para dizer que n&atilde;o pagaria um resgate e alertou que a &ldquo;intelig&ecirc;ncia de amea&ccedil;as confi&aacute;vel&rdquo; indica que os agentes de amea&ccedil;as planejavam vazar os dados roubados.
&ldquo;Posso confirmar que a Salesforce n&atilde;o se envolver&aacute;, negociar&aacute; ou pagar&aacute; qualquer demanda de extors&atilde;o&rdquo;, confirmou a Salesforce tamb&eacute;m ao BleepingComputer.
Esta declara&ccedil;&atilde;o segue o lan&ccedil;amento de um site de vazamento de dados por agentes de amea&ccedil;as conhecidos como &ldquo;Scattered Lapsus$ Hunters&rdquo;, que est&atilde;o tentando extorquir 39 empresas cujos dados foram roubados do Salesforce. O site foi localizado nos f&oacute;runs de viola&ccedil;&atilde;o[.]hn, que leva o nome do not&oacute;rio site BreachForums, um f&oacute;rum de hackers conhecido por vender e vazar dados roubados.
As empresas que est&atilde;o sendo extorquidas no site de vazamento de dados incluem marcas e organiza&ccedil;&otilde;es conhecidas, incluindo FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, Kering, McDonald&rsquo;s, Walgreens, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France &amp; KLM, Transunion, HBO MAX, UPS, Chanel e IKEA.
No total, os agentes de amea&ccedil;as alegaram ter roubado quase 1 bilh&atilde;o de registros de dados, que seriam divulgados publicamente se uma demanda de extors&atilde;o fosse paga por empresas individuais ou como um pagamento &uacute;nico da Salesforce que cobriria todos os clientes afetados listados no site.

realizar ataques de engenharia social se passando pela equipe de suporte de TI para induzir os funcion&aacute;rios a conectar um aplicativo OAuth malicioso &agrave; inst&acirc;ncia do Salesforce de sua empresa.
Uma vez vinculados, os agentes de amea&ccedil;as usaram a conex&atilde;o para baixar e roubar os bancos de dados, que foram usados para extorquir a empresa por e-mail.
Esses ataques de engenharia social impactaram Pesquise no Google, Cisco, Qantas, Adidas, Allianz Life, Seguro de Agricultores, Dia de trabalho, Kering e subsidi&aacute;rias da LVMH, como Dior, Louis Vuittone Tiffany &amp; Co.
Uma segunda campanha de roubo de dados do Salesforce come&ccedil;ou no in&iacute;cio de agosto de 2025, quando os agentes de amea&ccedil;as usaram tokens roubados SalesLoft Drift OAuth para migrar para os ambientes de CRM dos clientes e exfiltrar dados.
Os ataques de roubo de dados da Salesloft se concentraram principalmente no roubo de dados de t&iacute;quetes de suporte para verificar credenciais, tokens de API, tokens de autentica&ccedil;&atilde;o e outras informa&ccedil;&otilde;es confidenciais que permitiriam aos invasores violar a infraestrutura e os servi&ccedil;os em nuvem da empresa.
Um dos agentes de amea&ccedil;as por tr&aacute;s dos ataques da Salesloft, conhecido como ShinyHunters, disse ao BleepingComputer que eles roubaram aproximadamente 1,5 bilh&atilde;o de registros de dados para mais de 760 empresas durante esta campanha.
Muitas empresas j&aacute; confirmaram que foram afetadas pelo ataque &agrave; cadeia de suprimentos da Salesloft, incluindo Pesquise no Google, Cloudflare, Zscaler, Sustent&aacute;vel, CyberArk, El&aacute;stico, Al&eacute;m da confian&ccedil;a, Ponto de prova, JFrog, Nutanix, Qualys, Rubrik, Redes Cato, Redes de Palo Altoe muitos mais.
O site de vazamento de dados lan&ccedil;ado recentemente foi usado principalmente para extorquir clientes nos ataques originais de engenharia social, com os agentes de amea&ccedil;as afirmando que come&ccedil;ariam a extorquir publicamente os afetados pelos ataques da Salesloft ap&oacute;s 10 de outubro.
No entanto, o site de vazamento de dados agora est&aacute; encerrado, com o dom&iacute;nio agora usando servidores de nomes de surina.ns.cloudflare.com e hans.ns.cloudflare.com, que t&ecirc;m ambos foi usado pelo FBI no passado ao apreender dom&iacute;nios.
O BleepingComputer entrou em contato com o FBI para saber se eles apreenderam o dom&iacute;nio, mas n&atilde;o recebeu uma resposta no momento.


O Evento de Valida&ccedil;&atilde;o de Seguran&ccedil;a do Ano: O Picus BAS Summit 
Junte-se ao C&uacute;pula de Simula&ccedil;&atilde;o de Viola&ccedil;&atilde;o e Ataque e experimente o Futuro da valida&ccedil;&atilde;o de seguran&ccedil;a. Ou&ccedil;a os principais especialistas e veja como BAS alimentado por IA est&aacute; transformando a simula&ccedil;&atilde;o de viola&ccedil;&atilde;o e ataque.
N&atilde;o perca o evento que moldar&aacute; o futuro da sua estrat&eacute;gia de seguran&ccedil;a