Thought Leadership
Cyberkriminelle haben eine Leak-Plattform mit gestohlenen Daten von 39 Firmen veröffentlicht. Die Angreifer nutzen Voice-Phishing und OAuth-Manipulationen, um an Unternehmensdaten zu gelangen.
Eine Gruppe von Cyberkriminellen, die sich selbst als “Scattered Lapsus$ Hunters” bezeichnet, hat eine neue Plattform ins Netz gestellt, auf der Datenproben von insgesamt 39 Unternehmen präsentiert werden. Auf der Seite werden die betroffenen Firmen aufgefordert, bis zum 10. Oktober Kontakt aufzunehmen, um eine vollständige Veröffentlichung ihrer Daten zu verhindern.
Große Namen auf der Opferliste
Die Liste der Betroffenen liest sich wie ein Who’s Who der Wirtschaft: Neben Logistikunternehmen wie FedEx und UPS finden sich Einzelhändler wie Home Depot, Gap, Walgreens und IKEA, Hotelketten wie Marriott, Luxusmarken wie Cartier und Chanel, Technologiekonzerne wie Google und Cisco sowie weitere bekannte Namen wie Disney/Hulu, Toyota, McDonald’s, Air France & KLM und Adidas.
Salesforce soll Generalzahlung leisten
Neben den einzelnen Unternehmen nehmen die Erpresser auch Salesforce selbst ins Visier. Das Cloud-Software-Unternehmen wird aufgefordert, ein Lösegeld zu zahlen, um die Veröffentlichung sämtlicher Kundendaten zu verhindern. Nach Angaben der Angreifer handelt es sich um etwa eine Milliarde Datensätze mit personenbezogenen Informationen.
Als Druckmittel versprechen die Kriminellen, bei einer Zahlung durch Salesforce alle laufenden und geplanten Erpressungen einzelner Kunden einzustellen. Zusätzlich drohen sie dem Unternehmen mit der Unterstützung von Anwaltskanzleien bei Zivilklagen und verweisen auf mögliche DSGVO-Verstöße.
Social Engineering als Einfallstor
Die Angriffswelle läuft bereits seit Jahresbeginn. Die Täter setzen auf Voice-Phishing, um Mitarbeiter der Zielunternehmen zu manipulieren. Dabei werden die Opfer dazu gebracht, eine präparierte OAuth-Anwendung mit der Salesforce-Instanz ihres Arbeitgebers zu verbinden. Einmal autorisiert, verschaffen sich die Angreifer Zugang zu den Unternehmensdatenbanken.
Eine einzelne kompromittierte Salesforce-Instanz kann Daten mehrerer Tochtergesellschaften enthalten, was die Reichweite der Angriffe erheblich vergrößert. Zu den bereits bekannten Opfern zählen neben den auf der neuen Leak-Seite genannten Firmen auch Qantas, Allianz Life, Farmers Insurance, Workday sowie mehrere LVMH-Marken wie Dior, Louis Vuitton und Tiffany & Co.
Zweite Angriffswelle über Salesloft-Integration
Die Angreifer haben eine weitere Angriffsmethode offenbart: Sie nutzten gestohlene OAuth-Token der Drift-AI-Integration von Salesloft, um an besonders sensible Informationen wie Passwörter, AWS-Zugriffsschlüssel und Snowflake-Zugangsdaten zu gelangen.
Für den 10. Oktober kündigen die Erpresser die Veröffentlichung einer zweiten Leak-Seite an, auf der Opfer dieser Salesloft-Angriffe unter Druck gesetzt werden sollen. Laut den Tätern wurden dabei rund 760 Unternehmen kompromittiert und 1,5 Milliarden Datensätze erbeutet. Betroffen sind unter anderem namhafte Security-Anbieter wie Palo Alto Networks, CyberArk, Cloudflare, Rubrik, BeyondTrust, Proofpoint, Zscaler und Tenable.
Salesforce: Keine Kompromittierung der Plattform
Salesforce hat sich nach Bekanntwerden der Leak-Seite zu den Vorwürfen geäußert. Man sei über die Erpressungsversuche informiert und untersuche diese gemeinsam mit externen Experten und Behörden. Die bisherigen Erkenntnisse deuteten auf zurückliegende oder nicht belegte Vorfälle hin. Man stehe mit betroffenen Kunden in Kontakt, um Unterstützung anzubieten.
Das Unternehmen betont ausdrücklich, dass es derzeit keine Hinweise auf eine Kompromittierung der Salesforce-Plattform selbst gebe. Die Aktivitäten stünden auch nicht im Zusammenhang mit bekannten Schwachstellen in der Salesforce-Technologie.
