Três gangues adolescentes de crimes cibernéticos, anteriormente dizimadas por prisões, agora agem como uma só e se sentem invencíveis novamente. Após assumir a responsabilidade por grandes violações relacionadas a instâncias do Salesforce, o grupo agora exige que o Google e o FBI interrompam suas investigações e demitam funcionários específicos.
Segundo o site CyberNews, “os hackers ameaçaram vazar as identidades de todos os agentes que investigam seu grupo, que parece ser uma coalizão de três gangues: ShinyHunters, LAPSUS$ e Scattered Spider”.
Desde então, eles listaram 14 agentes e seus cargos, pediram ao diretor do FBI, Kash Patel, que os demitisse e provocaram a agência por sua falta de progresso.
No mesmo dia, eles emitiram um ultimato a Sundar Pichai, CEO do Google, para demitir dois funcionários específicos do Grupo de Inteligência de Ameaças do Google e abandonar as investigações sobre eles. Caso contrário, eles vazariam os bancos de dados do Google, que foram roubados durante os recentes roubos de instâncias do Salesforce .
“Nos destruiremos você e sua megacorrupção”, diz uma das muitas postagens direcionadas ao Google.
O novo canal do Telegram, repleto de provocações juvenis e imprudentes, palavrões excessivos, insultos raciais e gírias da internet, direcionou outras ameaças a muitas outras empresas e indivíduos, incluindo George Kurtz, CEO da CrowdStrike, e até mesmo ao presidente dos EUA, Donald Trump.
Os hackers também afirmam que já violaram o Google diversas vezes e ainda têm acesso às redes da empresa, e estão “descartando seus produtos um por um”.
Eles publicaram um banco de dados chamado “Gemini.com” em um mercado ilícito, sucessor do famoso BreachForums, que foi apreendido. No entanto, a Cybernews não pode confirmar se alguma das alegações ou os dados vazados são válidos.
Tokens roubados à venda: muitos “ainda funcionando”
O grupo reivindica a responsabilidade pela suposta violação na Salesloft Drift, uma plataforma de marketing conversacional com tecnologia de IA. Tokens de autenticação roubados da Salesloft Drift foram usados ??para comprometer instâncias do Salesforce de clientes. Muitas empresas foram alvos, incluindo Google, Victoria’s Secret e Zscaler.
A Cybernews já havia relatado que as credenciais eram os principais alvos de hackers que invadiram instâncias do Salesforce. Eles exfiltraram chaves de contas de serviço do Google Cloud Platform, chaves de acesso da Amazon Web Services (AWS), senhas e tokens de acesso relacionados ao Snowflake.
Agora, os hackers anunciam credenciais roubadas da AWS, Snowflake e outras da campanha Salesloft para venda, alegando que “algumas ainda estão funcionando” e que eles têm muitas delas.
O Google já havia alertado todos os clientes do Salesloft Drift para que tratassem quaisquer tokens de autenticação armazenados na plataforma como potencialmente comprometidos. A gigante da tecnologia alertou que os hackers conseguiram acessar e-mails “de um número muito pequeno de contas do Google Workspace”.
“As únicas contas potencialmente acessadas foram aquelas que haviam sido configuradas especificamente para integração com o Salesloft Drift; o invasor não teria conseguido acessar nenhuma outra conta no domínio do Workspace de um cliente. Notificamos todos os administradores do Google Workspace afetados. Para esclarecer, o Workspace (incluindo o Gmail) em si não foi comprometido, nem a Alphabet em si”, disse o porta-voz do Google à Cybernews.
Durante uma campanha de ataques cibernéticos de alto nível a instâncias do Salesforce, o coletivo de hackers que se identifica como “caçadores dispersos de LAPSUS$” (SLH) teve como alvo grandes empresas globais.
Os hackers vazaram dados supostamente pertencentes à seguradora americana Allianz Life e alegaram violações na Zscaler, uma empresa de segurança cibernética, e na ChangeNow, uma corretora de criptomoedas.
A TransUnion informou 4,4 milhões de clientes que seus dados pessoais podem ter sido expostos. Outros alvos prováveis ??incluem a Farmers Insurance , a Air France, a KLM , grandes empresas de telecomunicações e muitas outras.
Enquanto os hackers demonstram extrema arrogância em relação às autoridades policiais, acreditando serem “invencíveis”, eles também discutem abertamente suas táticas e falhas (por exemplo, executar o LinPEAS no Crowdstrike, buscar acesso a VPN/Citrix/Anydesk), expõem disputas internas e possíveis alvos futuros.
Brian Krebs, um blogueiro americano e jornalista de segurança da informação, observa que, embora o SLH busque atenção pública, ainda não está claro quais invasores obtiveram acesso aos tokens de autenticação do Salesloft Drift e como fizeram isso.
Os três grupos que compõem o SLH são conhecidos por muitos ataques cibernéticos de alto perfil. No entanto, eles já foram alvo de prisões importantes, e o LAPSUS$ foi desmantelado em 2022. O suposto líder do Scattered Spider, conhecido como “TylerB”, foi preso na Espanha, e outro membro da gangue, Michael Urba (King Bob), passará 10 anos em uma prisão federal nos EUA . O número de ShinyHunters foi reduzido pelas autoridades, que prenderam indivíduos- chave que administravam os notórios BreachForums.
O novo canal do SLH no Telegram foi lançado em 28 de agosto e já conta com mais de 52 mil inscritos. O Telegram bloqueou o canal do grupo anterior há mais de uma semana.
