กลุ่ม ShinyHunters ได้เปิดตัวเว็บไซต์ Salesforce Data Leak เพื่อเรียกค่าไถ่บริษัทที่ได้รับผลกระทบจากการโจมตี Salesforce กว่า 39 ราย โดยเว็บไซต์ดังกล่าวได้เผยแพร่ตัวอย่างข้อมูลที่ขโมยมาจาก Salesforce instances ของเหยื่อ โดยกำหนดเส้นตายจนถึง 10 ตุลาคม 2025 ก่อนที่ข้อมูลจะถูกเปิดเผยออกสู่สาธารณะ
ซึ่งบริษัทที่ถูกเรียกค่าไถ่ได้แก่ แบรนด์ และองค์กรชื่อดังมากมาย อาทิ FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald's, Walgreens, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France & KLM, Transunion, HBO MAX, UPS, Chanel และ IKEA
การโจมตี Salesforce เกิดจากกลุ่ม Hacker ที่อ้างว่าเป็นส่วนหนึ่งของกลุ่ม ShinyHunters, Scattered Spider และ Lapsus$ ซึ่งเรียกตัวเองว่า "Scattered Lapsus$ Hunters"
ShinyHunters ให้ข้อมูลกับ BleepingComputer ว่าบริษัททั้งหมดได้รับอีเมลเรียกค่าไถ่แล้ว โดยสังเกตได้จากการดาวน์โหลดตัวอย่างข้อมูลหลายครั้ง แต่ส่วนใหญ่เลือกที่จะไม่เปิดเผย และเพิกเฉยต่อการเรียกค่าไถ่ดังกล่าว
ShinyHunters ได้เผยแพร่ข้อความผ่านเว็บไซต์ Salesforce Data Leak เป็นการแจ้งเตือนถึงความสำคัญของข้อมูลที่ถูกขโมย โดยแนะนำให้ผู้มีอำนาจของบริษัทได้มีส่วนร่วมในการตัดสินใจในการจ่ายค่าไถ่ รวมถึง ShinyHunters ระบุว่าจะถอนตัวจากการเจรจาขายข้อมูลใด ๆ ที่กำลังดำเนินการอยู่ และบริษัทดังกล่าวจะไม่ถูกเรียกค่าไถ่อีก หากยอมจ่ายค่าไถ่
อีกทั้ง ShinyHunters ได้ข่มขู่บริษัทที่ถูกเรียกค่าไถ่ โดยระบุว่าจะช่วยบริษัทกฎหมายดำเนินคดีแพ่ง และพาณิชย์ต่อบริษัท Salesforce หลังจากเกิดการรั่วไหลของข้อมูล และเตือนว่า Salesforce ได้ล้มเหลวในการปกป้องข้อมูลของลูกค้าตามที่กำหนดไว้ในข้อบังคับทั่วไปว่าด้วยการคุ้มครองข้อมูลของสหภาพยุโรป (GDPR)
นอกจากนี้ ShinyHunters ได้เพิ่มรายการแยกต่างหากที่แจ้งให้ Salesforce จ่ายค่าไถ่เพื่อป้องกันไม่ให้ข้อมูลของลูกค้าที่ได้รับผลกระทบทั้งหมด (ประมาณ 1 พันล้านรายการที่มีข้อมูลส่วนบุคคล) รั่วไหล
กลุ่ม Scattered Lapsus$ Hunters ได้มุ่งเป้าการโจมตีไปยังลูกค้า Salesforce ด้วยการโจมตีแบบ Voice Phishing มาตั้งแต่ต้นปี 2025 ส่งผลให้เกิดข้อมูลรั่วไหลที่ส่งผลกระทบต่อบริษัทต่าง ๆ เช่น Google, Cisco, Qantas, Adidas, Allianz Life, Farmers Insurance, Workday รวมถึงบริษัทในเครือ LVMH เช่น Dior, Louis Vuitton และ Tiffany & Co.
ในแคมเปญการโจมตีเหล่านี้ Hacker ได้หลอกล่อพนักงานให้เชื่อมต่อ OAuth app ที่เป็นอันตรายเข้ากับ Salesforce instance ของบริษัท
ShinyHunters ให้ข้อมูลกับ BleepingComputer ว่า แม้จะเป็นการโจมตี Salesforce instance หนึ่งรายการ แต่อินสแตนซ์นั้นอาจมีข้อมูลของบริษัทในเครือหลายแห่ง ทำให้การโจมตีมีผลกระทบมากขึ้น
เมื่อทำการเชื่อมต่อกับ OAuth app ที่เป็นอันตรายแล้ว Hacker จะขโมยฐานข้อมูลของบริษัท และใช้ข้อมูลนั้นเพื่อเรียกค่าไถ่เหยื่อทางอีเมล อีเมลขู่เรียกค่าไถ่เหล่านี้ลงนามโดย ShinyHunters ซึ่งเป็นกลุ่ม Hacker ที่มีชื่อเสียงซึ่งเชื่อมโยงกับการเรียกค่าไถ่ที่เป็นข่าวโด่งดังมายาวนานในช่วงไม่กี่ปีที่ผ่านมา รวมถึงการโจมตี Snowflake และการโจมตี AT&T และ PowerSchool
ShinyHunters ยังอ้างว่าได้ใช้ OAuth tokens ที่ขโมยมาสำหรับการ integration Drift AI chat ของ Salesloft เข้ากับ Salesforce เพื่อขโมยข้อมูลสำคัญต่าง ๆ ซึ่งรวมถึงรหัสผ่าน AWS access keys และ Snowflake tokens จาก Salesforce instance ของลูกค้า
Mandiant ได้ติดตามการโจมตีเหล่านี้ภายใต้ชื่อ "UNC6395" ที่ไว้ใช้เรียกกลุ่ม Hacker ดังกล่าว เนื่องจากพวกเขาไม่สามารถเชื่อมโยงการโจมตีกับกลุ่ม ShinyHunters ได้อย่างเป็นทางการ
ในช่อง Telegram ที่เกี่ยวข้องกับกลุ่มเรียกค่าไถ่ กลุ่ม Hacker อ้างว่าพวกเขาจะเริ่มเรียกค่าไถ่บริษัทที่ได้รับผลกระทบจากการโจมตี Salesloft Drift บนเว็บไซต์ Data Leak แยกต่างหากที่จะเปิดตัวในวันที่ 10 ตุลาคม 2025
ก่อนหน้านี้ ShinyHunters ได้ให้ข้อมูลกับ BleepingComputer ว่า การขโมยข้อมูลของ Salesloft ส่งผลกระทบต่อบริษัทประมาณ 760 แห่ง และส่งผลให้มีการขโมยข้อมูลของ Salesforce ไปกว่า 1.5 พันล้านรายการ
เป็นที่ทราบกันดีว่าการโจมตี Salesloft ส่งผลกระทบต่อ Google, Palo Alto Networks, CyberArk, Cloudflare, Rubrik, Elastic, BeyondTrust, Proofpoint, JFrog, Zscaler, Tenable, Nutanix, Qualys และ Cato Networks รวมถึงบริษัทอื่น ๆ อีกมากมาย
ShinyHunters ระบุว่าบริษัทต่าง ๆ จะไม่ถูกเรียกค่าไถ่ซ้ำภายใต้แคมเปญของ Salesloft หากมีการจ่ายค่าไถ่ในช่วงเริ่มต้นของการเรียกค่าไถ่นี้
Salesforce ยืนยันหลังจาก ShinyHunters เปิดตัวเว็บไซต์ Salesforce Data Leak ว่า กำลังตรวจสอบร่วมกับผู้เชี่ยวชาญ และหน่วยงานภายนอก ซึ่งผลการตรวจสอบแสดงให้เห็นว่าการเรียกค่าไถ่นี้เกี่ยวข้องกับเหตุการณ์ในอดีต หรือเหตุการณ์ที่ยังไม่ได้รับการพิสูจน์ และกำลังร่วมมือกับลูกค้าที่ได้รับผลกระทบเพื่อให้การสนับสนุน รวมถึงในขณะนี้ ยังไม่มีข้อบ่งชี้ว่า Salesforce platform ถูกโจมตี”
ที่มา : bleepingcomputer
You must be logged in to post a comment.