Um grupo de hackers de alto perfil, que une membros dos coletivos Lapsus$, Scattered Spider e ShinyHunters, lançou um site de extorsão na dark web, ameaçando divulgar cerca de um bilhão de registros de clientes da Salesforce. O ataque massivo teria atingido dezenas de grandes corporações que utilizam os bancos de dados em nuvem da empresa para armazenar informações de consumidores.
O site, batizado de Scattered LAPSUS$ Hunters, foi identificado por pesquisadores de inteligência de ameaças na sexta-feira (3) e tem um propósito claro: forçar as vítimas a pagar resgate para evitar o vazamento público de seus dados. Na página, os criminosos afirmam:
“Entre em contato conosco para retomar o controle da governança de dados e impedir a divulgação pública dos seus dados. Não seja a próxima manchete.”
Nas últimas semanas, o grupo ShinyHunters tem sido vinculado a uma onda de invasões a bancos de dados hospedados na nuvem da Salesforce. Entre as vítimas confirmadas ou alegadas estão Allianz Life, Google, Kering, Qantas, Stellantis, TransUnion e Workday, além de outras empresas globais que teriam sido afetadas.
O novo portal de vazamento também menciona FedEx, Hulu (de propriedade da Disney) e Toyota Motors como alvos em potencial, aumentando a pressão para que as companhias negociem com os hackers. Um representante do ShinyHunters afirmou que “há inúmeras outras empresas que não foram listadas”, sugerindo que algumas já podem ter pago o resgate para evitar exposição.
No topo da página, o grupo direciona a ameaça diretamente à Salesforce, exigindo uma negociação sob o risco de que “todos os dados dos seus clientes serão vazados”. A mensagem indica que a empresa ainda não iniciou conversas com os criminosos.
Em comunicado oficial, a porta-voz da Salesforce, Nicole Aranda, minimizou as ameaças. Segundo ela, a companhia está “ciente das recentes tentativas de extorsão por parte de hackers”, mas considera que os incidentes estão “relacionados a eventos passados ou infundados”. A empresa afirmou ainda que “não há indícios de que a plataforma Salesforce tenha sido comprometida”, nem evidências de vulnerabilidades conhecidas exploradas pelos atacantes.
O lançamento de um site de extorsão por um grupo hacker predominantemente de língua inglesa marca uma mudança significativa no cenário da cibercriminalidade global. Até agora, esse tipo de plataforma era mais comum entre grupos de ransomware de língua russa, que combinavam sequestro de dados e extorsão financeira.
Nos últimos anos, no entanto, os cibercriminosos evoluíram: em vez de criptografar os arquivos das vítimas, passaram a adotar a tática da “extorsão pura”, ameaçando divulgar os dados roubados para causar danos à reputação e forçar o pagamento de resgates.
A criação do Scattered LAPSUS$ Hunters demonstra que os hackers de língua inglesa estão adotando o mesmo modelo de pressão pública, transformando o vazamento de dados em uma arma de manipulação midiática e financeira. O episódio reforça o alerta de especialistas sobre o crescimento da extorsão digital como modelo de negócio no cibercrime moderno.
