面对犯罪团伙高达数亿美元的赎金威胁,Salesforce 明确表态:不谈判、不支付。
这家全球领先的CRM服务商近日确认,不会向一个名为“Scattered LAPSUS$ Hunters”的黑客组织支付任何赎金,该组织声称从其客户系统中窃取了近 10亿条记录,并设定了周五为最后通牒日。
这一决定不仅关乎企业立场,也再次将“是否应支付勒索软件赎金”推入公众视野——尤其是在越来越多大型企业面临类似攻击的当下。
谁在发起攻击?伪装成支持人员的社会工程战
据谷歌旗下网络安全公司 Mandiant 调查,此次攻击始于2024年5月,攻击者采用一种高度针对性的社会工程手段:
他们通过语音电话联系使用 Salesforce 平台的企业员工,冒充技术支持或第三方集成服务商,诱导对方将恶意应用程序接入其 Salesforce 实例。
关键点:不需要漏洞利用,也不需要破解密码——只需一次轻信的点击。
这些应用一旦被授权,便可读取客户数据库中的敏感信息,包括联系人、交易记录、内部备注等。由于 Salesforce 的权限模型允许第三方应用广泛访问数据,一旦信任被滥用,后果极为严重。
Mandiant 将该攻击组织追踪为 UNC6040,目前尚未能完全确认其与已知黑客团体的直接关联。但该组织自称“Scattered LAPSUS$ Hunters”,明显借鉴了三个臭名昭著的网络犯罪团伙名称:
- Scattered Spider:擅长社会工程与多因素认证绕过;
- LAPSU$S:曾攻击英伟达、三星等科技巨头;
- ShinyHunters:长期活跃于暗网,以大规模数据出售闻名。
这种命名方式可能是为了制造心理威慑,也可能是多个团伙合作的结果。
攻击成果有多大?38家客户被列入“泄密名单”
本月早些时候,该组织建立了一个公开网站,列出包括 丰田(Toyota)、联邦快递(FedEx)和药品分销商 Cencora 在内的38家 Salesforce 客户,并声称已获取总计 9.89亿条记录(约10亿条)。
网站写道:“如果 Salesforce, Inc. 支付赎金,那么没有人需要支付我们。” 否则,“所有客户数据将被公开”。
这一定位极具策略性——他们并未直接向每个受害者索要赎金,而是试图迫使 Salesforce 作为平台方统一买单,从而一次性获得巨额资金。
彭博社报道称,Salesforce 已收到“可信的威胁情报”,表明 ShinyHunters 计划发布在此次系列攻击中窃取的数据。
Salesforce 的回应:坚决不妥协
周三,Salesforce 发言人通过邮件正式回应:
“我可以确认,Salesforce 不会参与、谈判或支付任何勒索要求。”
这一声明紧随彭博社披露的一封内部客户信件之后。在那封邮件中,Salesforce 告知受影响客户,公司不会为此次事件支付赎金。
此举符合近年来大型科技企业的普遍做法——Meta、苹果、微软 等均公开承诺不支付勒索软件赎金。尽管短期内可能导致部分数据被泄露,但从长远看,这是切断犯罪经济链条的关键一步。
为何不应支付赎金?安全专家一致反对
支付赎金看似是“快速止损”的方案,实则存在多重风险:
- ✅ 无法保证数据删除:攻击者常在收钱后仍保留或转售数据;
- ✅ 鼓励更多攻击:成功案例会吸引更多犯罪团伙效仿;
- ✅ 助长有组织犯罪:部分勒索团伙背后涉及跨国犯罪网络。
根据网络安全公司 Deepstrike 统计,2023年全球勒索软件赎金支付总额达 11亿美元,2024年预计为 8.13亿美元——虽略有下降,但仍处于高位。
其中最引人注目的是对医药分销商 Cencora 的攻击,赎金高达 7500万美元,成为近年最大单笔支付之一。
对此,独立安全研究员 Kevin Beaumont 在 Mastodon 上尖锐指出:
“公司不应在国家执法机构和保险公司的默许下,直接资助有组织犯罪。”
他进一步透露,在与多家受害企业的沟通中发现,尽管英国国家犯罪局(NCA)官方建议“不要支付”,但在实际谈判过程中,其成员有时也会出现在赎金协商现场——反映出政策与执行之间的矛盾。
“在战壕里防御这些东西变得一团糟,”他说,“我担心这将走向何方。”
对企业的警示:平台安全 ≠ 数据安全
这次事件再次提醒所有企业:
使用云服务 ≠ 数据自动安全。
Salesforce 本身并未遭受系统级入侵,而是其客户的账户权限管理不当导致数据外泄。这类“供应链式”攻击正变得越来越常见——攻击者不再强攻核心系统,而是寻找最容易突破的人为环节。
企业应立即采取以下措施:
- 审查并最小化第三方应用的权限;
- 强制启用多因素认证(MFA);
- 对员工进行社会工程防范培训;
- 定期审计 OAuth 授权记录。
0条评论