Kifinomult módszerek, szerteágazó hatás
Valószínűsíthető, hogy a Scattered Lapsus$ Hunters úgy jutott be, hogy a Salesloft által üzemeltetett Drift nevű MI-alapú marketingplatform ügyfeleit vette célba. Ezzel megszerezték a Drift hozzáférési tokenjeit, majd ezeken keresztül feltörték az ügyfelek Salesforce-fiókjait. A támadássorozat egyik áldozata maga a Gainsight lett, ezt a hackercsoport maga is megerősítette. Mégis a cég állítása szerint nem a Salesforce-platform hibájából történt a visszaélés, hanem a kapcsolódó alkalmazások külső összeköttetései jelentették a belépési pontot a támadóknak.
Eltérő nyilatkozatok, biztonsági intézkedések
A hackerek a Telegramon jelentették be, hogy sikeresen hozzáfértek különböző cégek adataihoz. A vállalatok vegyesen nyilatkoznak az esetről: a CrowdStrike szerint az ő ügyféladataik biztonságban vannak, a Malwarebytes, a Thomson Reuters és a DocuSign mind saját belső vizsgálatot indítottak, elővigyázatosságból pedig a DocuSign minden Gainsight-integrációt leállított. A Verizon szerint alaptalanok a hackercsoport állításai. A Salesforce közölte, hogy nem lát saját platformját érintő sérülékenységet, mégis ideiglenesen felfüggesztette a Gainsight-hoz kapcsolódó alkalmazások hozzáférési tokenjeit.
Folyamatban az igazság feltárása
A Gainsight jelenleg a Google Mandiant egységével közösen vizsgálja az esetet, miközben a hackercsoport a Telegramon már azt is belebegtette, hogy külön weboldalt indít, amellyel a mostani áldozatokat is megzsarolná. A Scattered Lapsus$ Hunters tipikusan ehhez a módszerhez folyamodik: miután adatokat lopnak, rendszerint nyilvános zsarolásba kezdenek. A támadási hullám továbbra is folytatódik, a forenzikus vizsgálat jelenleg is tart. Az érintett cégek és ügyfelek számára így továbbra is kulcsfontosságú a megfelelő megelőzés és a gyors reagálás.
