Massive Datenexfiltration

Salesforce lehnt Lösegeldzahlung nach Cyberangriff ab

Salesforce
Bildquelle: Sundry Photography / Shutterstock
LinkedInRedditWhatsAppPocket

Salesforce hat bestätigt, dass das Unternehmen keine Verhandlungen mit den Verantwortlichen einer groß angelegten Welle von Datendiebstählen aufnehmen und kein Lösegeld zahlen wird.

Die Angriffe betrafen zahlreiche Kunden von Salesforce und führten zur Exfiltration von Daten aus mehreren CRM-Instanzen im Jahr 2025. Laut Salesforce deutet die Bedrohungsanalyse darauf hin, dass die Täter die gestohlenen Daten veröffentlichen wollten, falls kein Lösegeld gezahlt wird.

Anzeige

Vorgehensweise der Angreifer

Die Angriffe erfolgten in zwei Wellen:

  • Erste Kampagne (Ende 2024): Hier nutzten die Täter Social Engineering, indem sie sich als IT-Support ausgaben, um Mitarbeiter dazu zu bringen, eine bösartige OAuth-Anwendung mit ihrer Salesforce-Instanz zu verbinden. Über diese Verbindung wurden dann Datenbanken heruntergeladen und für Erpressungsversuche per E-Mail verwendet. Betroffen waren unter anderem Google, Cisco, Adidas und mehrere Luxusmarken wie Dior und Tiffany & Co.
  • Zweite Kampagne (ab August 2025): Die Angreifer nutzten gestohlene SalesLoft-Drift-OAuth-Token, um auf Kunden-CRM-Systeme zuzugreifen und Daten zu exfiltrieren. Im Fokus standen insbesondere Support-Tickets, API-Tokens, Authentifizierungsdaten und andere sensible Informationen, die einen Zugriff auf die Unternehmensinfrastruktur und Cloud-Dienste ermöglichten.

Reaktionen und Maßnahmen

Einige der betroffenen Unternehmen bestätigten bereits, dass sie Opfer der Supply-Chain-Attacken über SalesLoft wurden, darunter Google, Cloudflare, Zscaler, Tenable und Palo Alto Networks. Salesforce betonte, dass keine Lösegeldzahlungen geleistet werden und dass das Unternehmen keine Forderungen der Täter akzeptieren wird.

Das ursprünglich für Erpressungsversuche genutzte Leck-Portal ist mittlerweile offline. Die Domain verwendet nun Nameserver, die in der Vergangenheit von der FBI bei der Sicherstellung beschlagnahmter Domains eingesetzt wurden. Ob die Seite tatsächlich von den US-Behörden geschlossen wurde, ist bisher nicht offiziell bestätigt.

Anzeige

Die Vorfälle unterstreichen die anhaltende Bedrohung durch Social-Engineering-Angriffe und Supply-Chain-Exfiltration. Unternehmen müssen ihre Sicherheitsmaßnahmen für CRM- und Cloud-Umgebungen kontinuierlich überprüfen, um Datenverlust zu verhindern und Erpressungsversuche frühzeitig zu erkennen. Salesforce setzt dabei auf eine klare Null-Toleranz-Strategie gegenüber Lösegeldforderungen.


Pauline Dornig

Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Pauline Dornig verstärkt seit Mai 2020 das Team des IT Verlags als Online-Redakteurin. (pd)
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.