Согласно отчёту WWD, никакая финансовая информация, платёжные данные или внутренние операционные системы не были скомпрометированы в ходе атаки. В результате утечки были раскрыты ограниченные, но конфиденциальные данные клиентов, включая имена, адреса электронной почты, почтовые адреса и номера телефонов лиц, которые обращались в центр обслуживания клиентов Chanel в США.
Группировка систематически атакует организации различных отраслей с начала 2025 года: список включает Qantas, Allianz Life, дочерние компании LVMH Louis Vuitton и Dior, Tiffany & Co. и Adidas.
По некоторым источникам, атака на бренд Pandora 6 августа также связана с Salesforce.
Екатерина Едемская, эксперт в области кибербезопасности, инженер-аналитик компании «Газинформсервис», объяснила, к какой механике нужно готовиться при атаке этой группировки вымогателей: «Атака была реализована через подключение вредоносного приложения к инфраструктуре Salesforce под видом официального инструмента Data Loader. Это стало возможным из-за слабой верификации действий сотрудников, которые, поддавшись на уговоры "службы поддержки", сами предоставили необходимые разрешения».
Организациям, заметила Едемская, использующим облачные платформы, необходимо пересмотреть свои процедуры управления доступом и обучения сотрудников. Ключевой уязвимостью остаётся человек, и без систематической подготовки сотрудников к распознаванию и противодействию социальным атакам любые технические меры могут оказаться недостаточными. Кроме того, следует ограничить возможности подключения внешних приложений, внедрить систему постоянного мониторинга активности в CRM-среде и использовать механизмы предупреждения при аномальных запросах к данным.
«Данный инцидент подчёркивает важность своевременного обнаружения угроз и активной защиты облачных сервисов от сложных атак. В таких случаях полезными могут быть системы, работающие на основе поведенческой аналитики, как, например, Ankey ASAP от компании "Газинформсервис". Программный комплекс использует методы UEBA и машинного обучения и помогает оперативно выявлять аномалии и подозрительные действия в инфраструктуре. Система может распознать начальную фазу атаки, как, например, в случае с фишингом или эксплуатацией уязвимостей нулевого дня, и заблокировать угрозу до того, как она успеет нанести значительный ущерб», — отметила эксперт.
