Хакерське угруповання під назвою “Scattered LapSus Hunters” поставило корпорації Google жорсткий ультиматум: звільнити двох ключових співробітників Групи аналізу загроз або зіткнутися з витоком нібито внутрішніх даних компанії.
Ця безпрецедентна вимога була опублікована в Telegram і безпосередньо стосується Остіна Ларсена та Чарльза Кармакала, а також містить заклик припинити розслідування мережевої безпеки Google, – повідомляє Newsweek.
Загроза виникла після того, як у серпні Google повідомила, що кіберзлочинці з групи ShinyHunters зламали Salesforce — стороннього постачальника послуг — та отримали доступ до бізнес-контактної інформації. Це порушення спричинило сплеск складних фішингових кампаній, спрямованих проти 2,5 мільярда користувачів Gmail. Хоча паролі чи основні системи Google не були скомпрометовані, викрадені дані дозволили зловмисникам створювати переконливі шахрайські повідомлення.
Цільові співробітники та ставки безпеки
Остін Ларсен працює головним аналітиком загроз у Google Threat Intelligence Group, тоді як Чарльз Кармакал обіймає посаду технічного директора в Mandiant Consulting — підрозділу реагування на інциденти Google Cloud. Обидва відігравали ключову роль у відстеженні та викритті мереж кіберзлочинців, включно з нещодавніми розслідуваннями злому Salesforce.
Хакери стверджують, що представляють коаліцію, яка об’єднує членів відомих угруповань, включно зі Scattered Spider, LapSus та ShinyHunters, проте експерти з безпеки зазначають, що вони не надали жодних доказів доступу до баз даних Google. “Поки що вони не надали жодних доказів того, що володіють додатковою інформацією”, — коментують фахівці з кібербезпеки щодо заяв зловмисників.
Ескалація фішингових кампаній після злому Salesforce
Ультиматум є результатом складного ланцюга подій, що почався з того, що зловмисники проникли в Salesloft Drift — платформу ШІ-чатботів, яку використовують численні корпорації. Через викрадені OAuth-токени кіберзлочинці отримали доступ до екземплярів Salesforce і вилучили величезні обсяги бізнес-контактних даних між 8-18 серпня 2025 року.
Google повідомляє, що 37% спроб захоплення облікових записів на її платформах тепер походять від фішингових атак і атак “вішинг” (голосовий фішинг), при цьому злочинці використовують викрадену бізнес-інформацію для створення реалістичних схем видавання себе за інших. Компанія закликала всіх користувачів Gmail змінити паролі та ввімкнути двофакторну автентифікацію як запобіжний захід.
Реакція індустрії на нахабство кіберзлочинців
Аналітики безпеки описують вимогу звільнення співробітників як незвичайну ескалацію в тактиці кіберзлочинців, що означає перехід від традиційної крадіжки даних до спроб впливу на корпоративні операції. Назва “Scattered LapSus Hunters” з’явилася в каналі Telegram на початку серпня, перш ніж була забанена платформою, що дає підстави вважати поточний ультиматум частиною ширшого патерну поведінки, спрямованої на привертання уваги.
Google відключила всі інтеграції Salesloft із Salesforce, Slack та Pardot, тоді як Salesloft залучила Mandiant для розслідування першопричини злому. Інцидент підкреслює зростаючі побоювання щодо “розповсюдження авторизації” — ситуації, коли легітимні токени доступу користувачів дозволяють зловмисникам безперешкодно переміщуватися між хмарними системами без виявлення.
