Os "fantasmas digitais" do Lapsus$ estão de volta, mais sofisticados e com um alvo claro: a cadeia de suprimentos digital. Um novo relatório de inteligência de ameaças da ZenoX, startup de cibersegurança do Grupo Dfense, revela que uma ramificação do infame coletivo, autodenominada "Scattered Lapsus$ Hunters", está por trás de um dos maiores ataques à cadeia de suprimentos já documentados, comprometendo entre 989 milhões e 1,5 bilhão de registros corporativos ao explorar integrações da plataforma Salesforce.

O estudo, chamado "Fantasmas Digitais: A Metamorfose do Lapsus$ em Scattered Hunters", detalha como o grupo evoluiu das táticas caóticas que paralisaram gigantes como Microsoft, Nvidia e o Ministério da Saúde entre 2021 e 2022 para uma operação criminosa financeiramente motivada e estrategicamente articulada. A investigação da ZenoX aponta que a campanha recente explorou uma vulnerabilidade na integração entre a Salesforce e a plataforma de engajamento de vendas Salesloft Drift.

Ao explorar brechas na cadeia de suprimentos digital, os criminosos comprometeram a Salesloft e obtiveram tokens de acesso (OAuth) capazes de burlar a autenticação multifator (MFA), abrindo caminho para invadir instâncias da Salesforce usadas por centenas de corporações. A lista de vítimas inclui gigantes da tecnologia (Google AdSense, Cisco), aviação (Qantas, Air France, KLM, FedEx), varejo (Home Depot, IKEA), luxo (Louis Vuitton, Chanel, Dior, Cartier), automotivo (Toyota, Stellantis), alimentação (McDonald’s, KFC), mídia e entretenimento (Disney/Hulu, HBO Max) e finanças (Allianz Life, TransUnion), entre outras.

"O que estamos testemunhando é a maturação de um fantasma. O Lapsus$ original, formado por adolescentes, provou que a engenharia social bem executada era mais devastadora que qualquer malware complexo. Agora, seus sucessores do Scattered Lapsus$ Hunters aprenderam a lição, uniram-se a outros grupos experientes como Scattered Spider e ShinyHunters, e industrializaram o método", analisa Ana Cerqueira, CRO da ZenoX. "Eles demonstraram que o elo mais fraco não é mais apenas um funcionário desatento, mas a confiança que depositamos em ecossistemas de software interconectados. Atacar uma plataforma SaaS como a Salesloft foi como encontrar uma chave-mestra para entrar em centenas de empresas de uma só vez."

O relatório da ZenoX detalha que os dados expostos são de altíssima sensibilidade e incluem nomes completos, números de Seguro Social (SSNs), datas de nascimento, informações de carteiras de motorista, e-mails, telefones, histórico de compras, conteúdo de tickets de suporte, chaves de API, tokens de acesso e outras credenciais corporativas.

A motivação do grupo ficou clara em um ultimato: os cibercriminosos exigiram o pagamento de 20 bitcoins (cerca de US$1,3 milhão) diretamente da Salesforce, estabelecendo um prazo final para 10 de outubro de 2025. Caso o pagamento não seja efetuado, o grupo ameaça não apenas liberar publicamente o bilhão de registros, mas também cooperar com escritórios de advocacia em litígios contra a Salesforce e denunciar a empresa a reguladores de proteção de dados na Europa e nos EUA (GDPR, CCPA).

"A tática da dupla extorsão evoluiu para uma extorsão tripla ou quádrupla: eles ameaçam a empresa principal, as empresas clientes e ainda prometem armar os reguladores com evidências. É uma demonstração de força que coloca toda a indústria de SaaS em alerta", complementa Cerqueira. "As defesas tradicionais são insuficientes contra adversários que exploram a confiança como principal vetor de ataque. A única resposta eficaz é a inteligência proativa, monitorando o ecossistema de parceiros e o submundo do crime para antecipar esses movimentos antes que eles se materializem em uma crise de proporções globais."