Cyberextorsion : l’âge des grandes campagnes de masse

Les méthodes d’accès aux données diffèrent, mais les résultats sont les mêmes : des victimes revendiquées par centaines.

À gauche, Cl0p qui, depuis 2023, enchaîne les campagnes d’exploitation en masse de vulnérabilités affectant des systèmes, notamment de partage de fichiers, exposés directement sur Internet.

Sa dernière en date remonte au début de l’automne, avec la vulnérabilité CVE-2025-61882 d’Oracle E-Business Suite. Bilan ? Des centaines de victimes dont encore une trentaine revendiquée en ce vendredi 21 novembre. Parmi elles, on trouve Michelin, Mazda, Canon, Bechtel. Dans la fournée précédente, une semaine plus tôt, figuraient Entrust, Fluke, ou encore Carglass Allemagne, notamment.

À droite, le collectif aux contours flous des ShinyHunters, qui se fait désormais appeler « Scattered Lapsus$ Hunters ». Sa spécialité ? L’ingénierie sociale, suivant le mode opératoire dit « Scattered Spider ».

Ce collectif s’est illustré par plusieurs victimes de renom durant l’année, avec notamment une campagne, au coût, contre les clients de Salesforce utilisant l’intégration avec Salesloft Drift. Et il ne s’est pas arrêté là.

Ce 20 novembre, Salesforce a publié une note d’information à l’intention de ses clients, alertant sur des « activités inhabituelles » associées aux applications Gainsight.

Le journaliste Dissent Doe s’est demandé s’il ne faudrait pas voir là la patte des ShinyHunters. Selon ces derniers, c’est « malheureusement le cas », « malheureusement » parce que… « c’est malheureux que ce soit probablement la troisième ou quatrième campagne à grande échelle contre Salesforce conduite par le même groupe ».

Le collectif annonce l’ouverture d’une nouvelle vitrine pour le 24 novembre. Celle-ci « contiendra les données des campagnes Salesloft et GainSight, soit près de 1 000 organisations au total ». Toutes ne seront pas épinglées, selon ShinyHunters, seulement les plus notables, « principalement celles du classement Fortune 500 ». Et de désigner déjà « Verizon, Gitlab, F5, Sonicwall et d’autres ».

Dans sa nouvelle chaîne Telegram, le collectif – qui se positionne ouvertement dans une forme de compétition avec Cl0p – revendique également un vol de données appartenant à CrowdStrike. Nous avons adressé une demande de commentaires à l’éditeur.