Theo Bloomberg đưa tin lần đầu, Salesforce đã gửi email đến khách hàng vào thứ Ba tuần này để thông báo rằng, họ sẽ không trả tiền chuộc, đồng thời chia sẻ về "thông tin tình báo đáng tin cậy" cho thấy những kẻ tấn công đang lên kế hoạch làm rò rỉ dữ liệu bị đánh cắp.
 |
Được biết, Salesforce là một công ty công nghệ cung cấp phần mềm quản lý quan hệ khách hàng (CRM) hàng đầu thế giới dựa trên nền tảng đám mây, giúp doanh nghiệp quản lý khách hàng, bán hàng, tiếp thị và dịch vụ. "Tôi có thể xác nhận Salesforce sẽ không tham gia, đàm phán hoặc trả bất kỳ khoản tiền tống tiền nào", lãnh đạo của Salesforce cũng xác nhận với BleepingComputer.
Tuyên bố này được đưa ra sau khi một trang web rò rỉ dữ liệu được các kẻ tấn công gọi là "Scattered Lapsus$ Hunters" (Thợ săn Lapsus$ rải rác) ra mắt, những kẻ đang cố gắng tống tiền 39 công ty có dữ liệu bị đánh cắp từ Salesforce. Trang web này nằm trên tên miền breachforums[.]hn, được đặt theo tên miền BreachForums khét tiếng, một diễn đàn tin tặc nổi tiếng với việc bán và làm rò rỉ dữ liệu bị đánh cắp.
Các công ty bị tống tiền trên trang web rò rỉ dữ liệu này bao gồm các thương hiệu và tổ chức nổi tiếng, bao gồm FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, Kering, McDonald's, Walgreens, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France & KLM, Transunion, HBO MAX, UPS, Chanel và IKEA.
Tổng cộng, các tác nhân đe dọa tuyên bố đã đánh cắp gần 1 tỷ bản ghi dữ liệu, và những dữ liệu này sẽ không được công khai nếu từng công ty bị ảnh hưởng trả tiền chuộc hoặc Salesforce đứng ra chịu trách nhiệm thanh toán một khoản duy nhất cho tất cả các công ty nạn nhân.
Dữ liệu này đã bị đánh cắp từ các phiên bản Salesforce trong hai chiến dịch riêng biệt diễn ra vào năm 2025. Chiến dịch đánh cắp dữ liệu đầu tiên bắt đầu vào cuối năm 2024, khi các tác nhân đe dọa bắt đầu thực hiện các cuộc tấn công kỹ thuật xã hội giả danh nhân viên hỗ trợ CNTT để lừa các thành viên trong công ty nạn nhân kết nối ứng dụng OAuth độc hại với phiên bản Salesforce của công ty họ.
Sau khi được kết nối, kẻ tấn công đã sử dụng kết nối này để tải xuống và đánh cắp cơ sở dữ liệu, sau đó dùng để tống tiền công ty qua email. Các cuộc tấn công kỹ thuật xã hội này đã ảnh hưởng đến Google, Cisco, Qantas, Adidas, Allianz Life, Farmers Insurance, Workday, Kering và các công ty con của LVMH, chẳng hạn như Dior, Louis Vuitton và Tiffany & Co.
Một chiến dịch đánh cắp dữ liệu Salesforce thứ hai bắt đầu vào đầu tháng 8/2025, khi kẻ tấn công sử dụng mã thông báo OAuth Drift của nền tảng tương tác bán hàng SalesLoft bị đánh cắp để chuyển hướng sang môi trường CRM của khách hàng và đánh cắp dữ liệu.
Các cuộc tấn công đánh cắp dữ liệu Salesloft chủ yếu tập trung vào việc đánh cắp dữ liệu phiếu hỗ trợ để quét thông tin đăng nhập, mã thông báo API, mã thông báo xác thực và các thông tin nhạy cảm khác, cho phép kẻ tấn công xâm phạm cơ sở hạ tầng và dịch vụ đám mây của công ty.
Một trong những kẻ tấn công đứng sau các cuộc tấn công Salesloft, được biết đến là nhóm ShinyHunters. Nhóm này đã chia sẻ với BleepingComputer rằng, chúng đã đánh cắp khoảng 1,5 tỷ bản ghi dữ liệu của hơn 760 công ty trong chiến dịch này.
Nhiều công ty đã xác nhận, họ bị ảnh hưởng bởi cuộc tấn công chuỗi cung ứng Salesloft, bao gồm Google, Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks, Palo Alto Networks và nhiều công ty khác.
Trang web rò rỉ dữ liệu mới ra mắt này chủ yếu được sử dụng để tống tiền khách hàng trong các cuộc tấn công kỹ thuật xã hội ban đầu, với các tác nhân đe dọa tuyên bố rằng, chúng sẽ bắt đầu công khai tống tiền những người bị ảnh hưởng bởi các cuộc tấn công Salesloft sau ngày 10/10 tới đây.
Tuy nhiên, trang web rò rỉ dữ liệu hiện đã bị đóng cửa, với tên miền hiện đang sử dụng máy chủ tên là surina.ns.cloudflare.com và hans.ns.cloudflare.com, cả hai đều đã được Cục điều tra liên bang Mỹ (FBI) sử dụng trong quá khứ khi thu giữ tên miền.
Các chuyên gian nghiên cứu đã liên hệ với FBI về việc họ có thu giữ tên miền hay không nhưng hiện vẫn chưa nhận được phản hồi.
Hà Linh
Bình luận