Il colosso tecnologico Salesforce ha preso una posizione netta di fronte al ricatto digitale che ha colpito decine delle sue aziende clienti: nessuna trattativa, nessun pagamento. La decisione arriva dopo che cybercriminali hanno messo online un sito dedicato alla pubblicazione di dati rubati, minacciando di rendere pubbliche informazioni sensibili appartenenti a 39 compagnie di fama mondiale se non riceveranno il riscatto richiesto. Una strategia di estorsione che ha preso di mira alcuni dei brand più riconoscibili del panorama internazionale, da Disney a McDonald's, da Toyota a Chanel.
L'operazione criminale dietro il ricatto
I threat actors che si nascondono dietro il gruppo "Scattered Lapsus$ Hunters" hanno orchestrato una campagna di furto dati su vasta scala attraverso due distinte operazioni criminali nel corso del 2025. La prima ondata di attacchi ha avuto inizio alla fine del 2024, quando i cybercriminali hanno iniziato a impersonare il personale di supporto IT per ingannare i dipendenti delle aziende target.
Il modus operandi prevedeva tecniche di social engineering particolarmente sofisticate: i criminali convincevano le vittime a collegare applicazioni OAuth malevole alle istanze Salesforce delle loro compagnie. Una volta ottenuto l'accesso, procedevano sistematicamente al download e al furto dei database aziendali, utilizzando poi questi dati per ricattare le aziende via email.
Tra le vittime di questa prima campagna figurano colossi come Google, Cisco, Qantas, Adidas, oltre a prestigiose aziende del lusso appartenenti al gruppo LVMH come Dior, Louis Vuitton e Tiffany & Co. Un bottino che ha coinvolto alcune delle realtà più influenti del panorama economico globale.
La seconda ondata: l'attacco attraverso SalesLoft
Ad agosto 2025 i cybercriminali hanno lanciato una seconda offensiva, questa volta sfruttando token OAuth rubati da SalesLoft Drift per penetrare negli ambienti CRM dei clienti ed estrarre massicciamente i dati. Questa fase dell'operazione si è concentrata principalmente sul furto di ticket di supporto, alla ricerca di credenziali, token API e altre informazioni sensibili che potessero aprire le porte alle infrastrutture cloud delle aziende.
ShinyHunters, uno dei gruppi criminali protagonisti degli attacchi SalesLoft, ha rivendicato il furto di circa 1,5 miliardi di record appartenenti a oltre 760 aziende durante questa campagna. Un'operazione che ha colpito anche importanti società di cybersecurity come Cloudflare, Zscaler, CyberArk e Palo Alto Networks, evidenziando la portata e la sofisticazione dell'attacco.
Il sito del ricatto e la risposta delle autorità
La piattaforma utilizzata per l'estorsione era ospitata sul dominio breachforums[.]hn, un chiaro riferimento al noto forum di hacking BreachForums, specializzato nella vendita e divulgazione di dati rubati. Sul sito comparivano i nomi di 39 aziende, con i criminali che rivendicavano il possesso di quasi un miliardo di record di dati.
L'elenco delle vittime comprende vari protagonisti dell'economia globale: FedEx, Home Depot, Marriott, Gap, Walgreens, Instacart, UPS, IKEA, Air France & KLM, Transunion e HBO MAX. I criminali avevano strutturato la loro richiesta in modo da permettere sia pagamenti individuali da parte delle singole aziende, sia un versamento unico da parte di Salesforce per coprire tutti i clienti coinvolti.
Tuttavia, il sito di ricatto risulta ora non più accessibile. Il dominio utilizza attualmente nameserver che in passato sono stati associati all'FBI durante operazioni di sequestro, suggerendo un possibile intervento delle autorità federali statunitensi, anche se non è ancora arrivata conferma ufficiale da parte del Bureau.
La posizione ferma di Salesforce
La comunicazione inviata martedì ai clienti da parte di Salesforce è stata inequivocabile. L'azienda ha avvertito che "intelligence credibili sulle minacce" indicavano l'intenzione dei cybercriminali di procedere alla pubblicazione dei dati rubati, ma ha ribadito la propria posizione di non cedimento al ricatto.
Questa strategia riflette un approccio sempre più diffuso nel mondo aziendale per contrastare il fenomeno del ransomware e dell'estorsione digitale: la convinzione che cedere ai ricatti non faccia altro che alimentare il ciclo criminale e incoraggiare nuovi attacchi. Una posizione che, seppur rischiosa nel breve termine per la possibile esposizione dei dati, mira a scoraggiare future operazioni criminali di questo tipo.
