Oltre un miliardo di dati sensibili sottratti dagli hacker, ma Salesforce si rifiuta di pagare il riscatto

Salesforce ha confermato di aver rifiutato di pagare una richiesta di estorsione avanzata da un gruppo criminale informatico che sostiene di aver rubato circa 1 miliardo di record appartenenti a decine di clienti della piattaforma. L’azienda ha ribadito che non intende negoziare né cedere a ricatti digitali, nonostante la gravità della minaccia.

Il gruppo responsabile dell’attacco, che si autodefinisce Scattered LAPSUS$ Hunters, combina i nomi di tre note organizzazioni di cybercrime: Scattered Spider, LAPSuS$ e ShinyHunters. Secondo le indagini di Mandiant (Google), l’operazione ha avuto inizio a maggio, quando gli aggressori hanno contattato telefonicamente diverse aziende fingendosi rappresentanti di fiducia per spingerle a collegare un’app malevola ai rispettivi portali Salesforce. In molti casi, la tattica di ingegneria sociale ha avuto successo.

Il sito creato dai criminali cita Toyota, FedEx e oltre 37 aziende tra le vittime, e afferma di aver ottenuto “989,45 milioni” di record. Nel messaggio pubblico, il gruppo aveva chiesto a Salesforce di iniziare una trattativa economica e avvertito che, in caso di rifiuto, tutti i dati sarebbero stati pubblicati online. La scadenza per il pagamento era fissata a venerdì scorso.

Salesforce, in un’e-mail ufficiale, ha chiarito la propria posizione: "Non intendiamo pagare alcuna richiesta di estorsione né avviare negoziazioni". Bloomberg aveva anticipato che l’azienda aveva già informato i clienti di possedere informazioni credibili su una possibile fuga di dati orchestrata da ShinyHunters, ma che non avrebbe ottemperato alle richieste dei criminali.

Questo è solo uno dei casi di cyberattacchi verificatisi quest'anno che, sempre più spesso, adottano il cosiddetto "social engineering", ovvero un sistema che raggira le vittime in modo da eseguire software malevolo od ottenere dati sensibili senza alcuno sforzo. La tendenza sembra essere in aumento, nonostante nel 2024 i riscatti siano costati meno rispetto all'anno precedente.

Secondo le stime di Deepstrike, i pagamenti per riscatto nel 2024 hanno raggiunto 813 milioni di dollari, in calo rispetto agli 1,1 miliardi del 2023, ma ancora su livelli preoccupanti. Solo il gruppo responsabile dell’attacco al distributore farmaceutico Cencora avrebbe incassato 75 milioni di dollari.

Gli esperti di sicurezza condannano sempre più apertamente il pagamento dei riscatti, in quanto rappresenterebbe un incentivo per i gruppi criminali. L’analista indipendente Kevin Beaumont ha dichiarato: "Le aziende non dovrebbero finanziare il crimine organizzato. Bisogna spezzare questo ciclo". Nonostante le raccomandazioni delle autorità, alcune organizzazioni continuano a trattare con gli hacker per evitare danni reputazionali o operativi.

Quello di Salesforce, quindi, rappresenta un precedente importante e una presa di posizione netta che potrebbe ispirare altre società a seguire l'esempio. Dall'altro lato, però, va anche sottolineato che viviamo in un mondo in cui il profitto è l'unico indicatore del valore di un'azienda, ragione per cui se l'impegno contro la cybercriminalità ha un costo più alto della perdita dovuta al riscatto, è comprensibile che molte società preferiscano "il male minore".