Salesforce cho biết sẽ không trả tiền đòi tống tiền trong vụ vi phạm 1 tỷ hồ sơ

Tác giả tanthanh 06/02/2026 7 phút đọc

Salesforce cho biết họ từ chối trả tiền cho yêu cầu tống tiền do một tổ chức tội phạm tuyên bố đã đánh cắp khoảng 1 tỷ hồ sơ từ hàng chục khách hàng của Salesforce.

Nhóm đe dọa đưa ra yêu cầu bắt đầu chiến dịch của họ vào tháng 5, khi họ thực hiện cuộc gọi thoại tới các tổ chức lưu trữ dữ liệu trên nền tảng Salesforce, Mandiant thuộc sở hữu của Google nói rằng vào tháng 6. Những người gọi nói tiếng Anh sẽ giả vờ yêu cầu mục tiêu kết nối ứng dụng do kẻ tấn công kiểm soát với cổng Salesforce của họ. Thật ngạc nhiên—nhưng không có gì đáng ngạc nhiên—nhiều người nhận được cuộc gọi đã tuân thủ.

Nó đang trở thành một mớ hỗn độn thực sự

Nhóm đe dọa đằng sau chiến dịch này đang tự gọi mình là Thợ săn LAPSUS$ rải rác, một sự kết hợp của ba diễn viên tống tiền dữ liệu nổi tiếng: Scattered Spider, LAPSUS$ và ShinyHunters. Trong khi đó, Mandiant theo dõi nhóm là UNC6040 vì các nhà nghiên cứu cho đến nay vẫn chưa thể xác định chính xác các mối liên hệ.

Đầu tháng này, nhóm đã tạo ra một trang web có tên Toyota, FedEx và 37 khách hàng khác của Salesforce có dữ liệu bị đánh cắp trong chiến dịch. Tổng cộng, số lượng hồ sơ được khôi phục, Scattered LAPSUS$ Hunters tuyên bố, là “989,45m/~1B+.” Trang web kêu gọi Salesforce bắt đầu đàm phán về số tiền chuộc “nếu không tất cả dữ liệu [sic] khách hàng của bạn sẽ bị rò rỉ.” Trang web tiếp tục cho biết: “Không ai khác sẽ phải trả tiền cho chúng tôi, nếu bạn trả tiền, Salesforce, Inc.” Trang web cho biết thời hạn thanh toán là thứ Sáu.

Trong một email hôm thứ Tư, đại diện của Salesforce cho biết công ty đang từ chối nhu cầu.

“Tôi có thể xác nhận Salesforce sẽ không tham gia, đàm phán hoặc trả bất kỳ yêu cầu tống tiền nào, người đại diện viết. Xác nhận được đưa ra một ngày sau Bloomberg báo cáo lực lượng bán hàng đó đã nói với khách hàng trong một email rằng họ sẽ không trả tiền chuộc. Email tiếp tục nói rằng Salesforce đã nhận được “thông tin tình báo về mối đe dọa đáng tin cậy” cho biết một nhóm được gọi là ShinyHunters đã lên kế hoạch xuất bản dữ liệu bị đánh cắp trong một loạt cuộc tấn công vào cổng thông tin customers’ Salesforce.

Việc từ chối diễn ra trong bối cảnh số vụ tấn công ransomware vào các tổ chức trên khắp thế giới đang tiếp tục bùng nổ. Lý do những vi phạm này tiếp tục xảy ra là số tiền khổng lồ mà kẻ tấn công nhận được để đổi lấy việc giải mã dữ liệu được mã hóa và/hoặc hứa sẽ không xuất bản dữ liệu bị đánh cắp trực tuyến. Global Ransom Payments đạt tổng trị giá 813 triệu USD vào năm ngoái, giảm từ mức 1,1 tỷ USD vào năm 2023, công ty bảo mật Deepstrike ước tính. Chỉ riêng nhóm vi phạm nhà phân phối ma túy Cencora đã nhận được khoản thanh toán ransomware khổng lồ 75 triệu USD, Bloomberg báo cáo, trích dẫn những người giấu tên quen thuộc với vấn đề này.

Việc thực hiện thanh toán bằng ransomware ngày càng bị các chuyên gia bảo mật chỉ trích, những người cho rằng các khoản thanh toán này sẽ thưởng cho những kẻ xấu chịu trách nhiệm và chỉ khuyến khích họ theo đuổi sự giàu có hơn nữa.

“Corporations không nên trực tiếp tài trợ cho tội phạm có tổ chức với sự hỗ trợ của Cơ quan Tội phạm Quốc gia và bảo hiểm của họ, nhà nghiên cứu độc lập Kevin Beaumont của ” viết trên Mastodon, đề cập đến Cơ quan Tội phạm Quốc gia của Vương quốc Anh. “Phá vỡ chu kỳ.”

Trong khi NCA công khai khuyến nghị không nên trả tiền chuộc, Beaumont nói trong một cuộc phỏng vấn, nhiều tổ chức mà ông nói chuyện đã báo cáo có các thành viên NCA có mặt trong các cuộc đàm phán tiền chuộc. Trên Mastodon, ông cảnh báo các khoản thanh toán gây ra mối đe dọa cho an ninh rộng hơn.

“Nó đang trở thành một mớ hỗn độn thực sự để chống lại thứ này trong chiến hào, để tôi nói cho bạn biết,” anh ấy viết. “Tôi lo ngại chuyện này sẽ đi đến đâu.”