Attackens Omfattning: Över 700 Drabbade Organisationer
Attackerna mot Salesforce-användare började redan i maj 2025 och eskalerade kraftigt under sommaren och hösten. Enligt Google Threat Intelligence Group (GTIG) har över 700 organisationer potentiellt drabbats, och hackarna påstår sig ha tillgång till nästan en miljard dataposter innehållande personuppgifter.
Bland de bekräftade offren finns några av världens mest kända varumärken och organisationer, inklusive teknikjättar som Google och Cisco, lyxmodeföretag som Louis Vuitton, Dior, Chanel, Cartier, Gucci och Tiffany & Co., sportvarumärken som Adidas och Pandora, flygbolag som Air France-KLM, Qantas och WestJet, samt försäkringsbolag som Allianz Life och TransUnion. Även Salesforce-partners som Palo Alto Networks och bilindustrijättar som Jaguar Land Rover och Stellantis har drabbats.
Den 12 september 2025 utfärdade FBI en FLASH-varning där byrån identifierade två specifika hotaktörer: UNC6040 och UNC6395. I början av oktober skapade hackarna en darkweb-sajt kallad "Scattered LAPSUS$ Hunters" där de publicerar stulna data och utövar utpressning mot drabbade företag.
Två Olika Attackmetoder: Vishing och OAuth-Kompromiss
Metod 1: Voice Phishing (Vishing) av UNC6040
Den första attackmetoden, genomförd av hotaktören UNC6040 (kopplad till ShinyHunters), bygger på klassisk men effektiv social engineering genom voice phishing. Attackerna har pågått sedan oktober 2024 och fungerar enligt följande mönster:
Hackarna ringer upp anställda på företag och utger sig för att vara IT-supportpersonal. De riktar sig främst mot kundtjänst och supportavdelningar, ofta på engelsktalande kontor hos multinationella företag. Målet är att lura medarbetarna att antingen dela sina inloggningsuppgifter eller att installera vad som ser ut som en legitim Salesforce-applikation.
I många fall guidar hackarna offret att besöka Salesforce-installationssidan för connected apps och godkänna en modifierad version av Salesforce Data Loader. Denna falska app är ofta maskerad som "My Ticket Portal" eller liknande trovärdig tjänster. När den väl godkänns får hackarna omfattande OAuth-tokens som ger dem tillgång till att söka i och extrahera känslig data från företagets Salesforce-miljö.
Det mest oroande är att attackerna i vissa fall har använt deepfake-ljudteknik för att imitera anställdas röster, vilket gör det ännu svårare för helpdesk-personal att upptäcka bedrägeriet. Efter att ha fått tillgång använder attackarna API-förfrågningar för att massextrahera stora volymer av data, ofta inriktade på objekt som Accounts, Contacts, Cases, Users och Opportunities där känslig kundinformation lagras.
Metod 2: Salesloft Drift OAuth-Kompromiss av UNC6395
Den andra attackvektorn är betydligt mer teknisk och genomfördes av hotaktören UNC6395. Denna kampanj utnyttjade en kompromiss av tredjepartsintegrationen Salesloft Drift, en AI-baserad chatbot som många företag har integrerat med sina Salesforce-instanser.
Mellan mars och juni 2025 lyckades hackarna bryta sig in i Salesforces GitHub-konto. Genom denna tillgång kunde de stjäla OAuth-tokens och refresh tokens för Drift-applikationen. Från den 8 till 18 augusti 2025 använde attackarna dessa stulna tokens för att systematiskt få tillgång till hundratals företags Salesforce-miljöer.
Det som gör denna attack särskilt farlig är att OAuth-tokens tillåter direkt åtkomst utan att kräva användarnamn eller lösenord. Tokens fungerar som pålitliga integrationsnyclar, vilket innebär att attackerna kunde förbigå multifaktorautentisering (MFA), lösenordsåterställningar och många andra säkerhetsåtgärder. Aktiviteten såg ut som legitim app-trafik i loggarna.
GTIG rapporterade att hotaktörens primära mål var att hitta credentials och hemligheterer. Efter att ha extraherat data sökte attackarna specifikt efter känslig information som AWS-åtkomstnycklar, lösenord, API-nycklar och Snowflake-tokens som skulle kunna användas för vidare angrepp mot offrens infrastruktur.
Den 20 augusti 2025 återkallade Salesloft och Salesforce alla aktiva OAuth-tokens för Drift-applikationen och tog tillfälligt ner tjänsten från Salesforce AppExchange. Senare undersökningar visade att kompromissen även påverkade "Drift Email"-integrationen, vilket ledde till att ett litet antal Google Workspace-konton också blev åtkomliga för attackarna.
Vem Står Bakom Attackerna?
Attackerna kopplas till ett löst sammansatt kollektiv av cyberkriminella grupper som opererar under flera namn. De mest framträdande aktörerna är:
ShinyHunters (UNC6040) är en berömd hackergrupp känd för storskaliga dataläckor och utpressningskampanjer. Gruppen har tidigare genomfört attacker mot Snowflake och andra molnplattformar. I Salesforce-kampanjen har de varit primärt ansvariga för voice phishing-attackerna och efterföljande utpressning.
Scattered Spider (UNC3944) är en sofistikerad aktör med kopplingar till det underjordiska kollektivet "The Com". Gruppen är känd för avancerad social engineering och har tidigare attackerat MGM Resorts och Caesar's Entertainment. Google bedömer att det finns breda överlappningar mellan Scattered Spider och de aktörer som genomför Salesforce-attackerna.
Lapsus$ är en brasiliansk hackergrupp som blev känd 2022 genom attacker mot Microsoft, Nvidia, Samsung och Uber. Trots att flera medlemmar har arresterats fortsätter gruppen sina aktiviteter genom nya operatörer.
I oktober 2025 bildade dessa grupper ett samlat kollektiv kallat "Scattered LAPSUS$ Hunters" som driver utpressningskampanjen. Det är oklart om detta representerar en faktisk sammanslagning eller om det är ett taktiskt varumärkesval för att öka trycket på offren. I september påstod gruppen på sin Telegram-kanal att de skulle "gå underground", men attackerna och utpressningen har fortsatt.
En Decentraliserad Hotstruktur
Säkerhetsforskare bedömer att dessa grupper fungerar mer som en "extortion-as-a-service"-modell än som en enhetlig organisation. Enskilda operatörer och affiliates kan genomföra attacker under olika gruppnamn, vilket gör det svårt för brottsbekämpande myndigheter att stoppa verksamheten. I juni 2025 arresterade franska myndigheter en BreachForums-administratör kopplad till ShinyHunters, men attackerna fortsatte opåverkade.
Utpressningskampanjen: Psykologiskt Tryck och Darkweb-Sajt
Efter datastölden har hackarna lanserat en aggressiv utpressningskampanj. I början av oktober publicerade de en darkweb-sajt där de listar 39 företag och hotar att läcka stulna data om inte lösensummor betalas i kryptovaluta. Sajten innehåller meddelanden som riktar sig direkt till Salesforce och kräver att företaget förhandlar för att skydda sina kunder.
Hackarna använder flera psykologiska tryckmedel. De har delat prov från stulna databaser för företag som Cartier, Gucci, Allianz Life och Subaru för att bevisa att de har tillgång till datan. I ett anmärkningsvärt drag erbjöd gruppen att betala sina Telegram-följare 10 dollar i Bitcoin om de mejlade företagsledningen på drabbade företag och krävde att de skulle betala lösensumman.
Gruppen har också gjort specifika påståenden om att ha 23 miljoner CRM-poster från Coca-Cola Europacific Partners, data från regeringsorgan i Indien och Brasilien, samt känslig information från hundratals andra organisationer. Totalt påstår hackarna sig kontrollera över en miljard dataposter med personidentifierbar information.
Salesforces Svar: Ingen Förhandling
Den 8 oktober 2025 bekräftade Salesforce officiellt att företaget inte kommer att förhandla med eller betala någon utpressningskrav. En talesperson för Salesforce sa: "Jag kan bekräfta att Salesforce inte kommer att engagera sig i, förhandla med eller betala för någon utpressningskrav."
Salesforce har betonat att attackerna inte beror på någon sårbarhet i själva Salesforce-plattformen och att plattformen inte har komprometterats. Istället pekar företaget på att attackerna bygger på social engineering och missbruk av legitima funktioner. Salesforce samarbetar med externa forensiska experter och brottsbekämpande myndigheter för att utreda händelserna.
Konsekvenser för Drabbade Företag
Konsekvenserna för de drabbade företagen har varit betydande. Jaguar Land Rover tvingades stoppa produktionen i flera veckor, och flera företag har bekräftat att känslig kunddata har exponerats. TransUnion rapporterade att över 4,4 miljoner personers uppgifter påverkades.
För många företag innebär attackerna inte bara dataförlust utan även allvarliga hot om vidare kompromisser. Eftersom hackarna sökt efter AWS-nycklar, API-tokens och andra credentials finns risken för uppföljande attacker mot andra system. Flera organisationer har rapporterat att hackarna försökt få lateral access till plattformar som Microsoft 365, Okta och Workplace.
I slutet av september rapporterades att Salesforce hade blivit stämda i 14 olika rättsprocesser relaterade till dataintrången. Även om Salesforce argumenterar för att ansvaret ligger hos kunderna att skydda sina egna miljöer, kommer de rättsliga konsekvenserna troligen pågå under lång tid.
Så Skyddar Du Ditt Företag
FBI och säkerhetsexperter har publicerat omfattande rekommendationer för hur organisationer kan skydda sig mot dessa typer av attacker:
Implementera Phishing-Resistent MFA
Traditionell multifaktorautentisering räcker inte längre. Organisationer bör implementera phishing-resistent MFA som FIDO2 eller hårdvarubaserade säkerhetsnycklar som inte kan förbigås genom social engineering.
Granska Connected Apps
Det är kritiskt att genomföra en fullständig granskning av alla connected apps i Salesforce-miljön. Identifiera ursprunget för varje app, ta bort oanvända eller okända appar, sätt specifika behörigheter för åtkomst, och ta bort möjligheten för användare att lägga till connected apps utan godkännande från IT-säkerhet.
Utbilda Personal i Social Engineering
Eftersom många av attackerna bygger på att lura anställda är utbildning avgörande. Särskilt kundtjänst och supportpersonal behöver träning i att känna igen social engineering-försök. Implementera verifieringsprocedurer för IT-supportförfrågningar och ge personalen tydliga eskaleringsvägar för misstänkta samtal.
Övervaka OAuth-Tokens och API-Aktivitet
Kontinuerlig övervakning av Salesforce-aktivitet är essentiell. Ovanliga API-förfrågningar, plötsliga ökningar i datanedladdningar eller OAuth-godkännanden utanför normala mönster bör trigga varningar. Använd Salesforce Shield för avancerad händelseloggning och anomalidetektering.
Implementera Least Privilege
Tillämpa principen om minsta behörighet för alla konton, både mänskliga och icke-mänskliga. Begränsa vilka användare som har administrativ åtkomst och granska regelbundet vilka behörigheter som faktiskt behövs för varje roll.
Begränsa Inloggnings-IP-områden
Använd Salesforces IP-begränsningsfunktioner för att endast tillåta inloggningar från kända och betrodda nätverksområden. Detta kan förhindra att stulna credentials används från attackares infrastruktur.
Rotera Credentials och API-nycklar
Om din organisation använder eller har använt Salesloft Drift eller liknande integrationer, bör alla credentials, API-nycklar och tokens behandlas som potentiellt komprometterade och omedelbart roteras. Sök igenom din Salesforce-miljö efter eventuellt lagrade hemligheterna och credentials.
Sök efter Indicators of Compromise
FBI har publicerat en lista över IP-adresser, domäner och User-Agent-strängar kopplade till attackerna. Säkerhetsteam bör söka igenom sina loggar efter dessa indikatorer och implementera dem i sina threat hunting-arbetsflöden.
Lärdomar från Attackerna
Salesforce-attackerna 2025 belyser flera viktiga insikter om modern cybersäkerhet. För det första visar de att även de mest sofistikerade organisationerna är sårbara för social engineering. Google, som upptäckte attackkampanjen, blev själva offer för samma taktik.
För det andra understryker attackerna vikten av supply chain-säkerhet. Kompromissen av Salesloft Drift visar hur en tredjepartsintegration kan bli en ingångsväg till hundratals organisationer. Företag måste inte bara säkra sina egna system utan också noggrant utvärdera säkerheten hos alla tredjepartsleverantörer.
För det tredje demonstrerar attackerna hur OAuth-tokens och API-åtkomst har blivit primära mål för cyberkriminella. Traditionella säkerhetsåtgärder som fokuserar på lösenord och MFA är inte tillräckliga när attackarna kan förbigå dessa kontroller genom att missbruka legitima funktioner.
Slutligen visar den decentraliserade naturen hos hotaktörerna att arrestationer och nedstängningar av forum inte längre stoppar cyberkriminella nätverk. Den distribuerade "extortion-as-a-service"-modellen gör det möjligt för kriminella att fortsätta operera även när vissa medlemmar grips.
Framtiden: Vad Väntar?
Säkerhetsforskare varnar för att denna typ av attacker sannolikt kommer att fortsätta och eskalera. SaaS-plattformar som Salesforce innehåller exakt den typ av data som cyberkriminella söker: kunduppgifter, affärsinformation och credentials som kan användas för vidare attacker.
Användningen av AI och deepfake-teknologi i social engineering kommer troligen att öka, vilket gör det ännu svårare för anställda att identifiera bedrägliga samtal och meddelanden. Organisationer behöver investera i både tekniska kontroller och mänsklig utbildning för att möta dessa hot.
Attackerna har också väckt frågor om ansvar och reglering av molnplattformar. Medan Salesforce argumenterar för att ansvaret ligger hos kunderna att konfigurera och säkra sina miljöer, kommer de rättsliga processerna troligen att klargöra var gränsen går mellan plattformsleverantörens och kundens ansvar.
För organisationer som använder Salesforce eller andra SaaS-plattformar är budskapet tydligt: säkerhet är inte längre bara IT-avdelningens ansvar. Det krävs ett organisationsövergripande engagemang, kontinuerlig utbildning och en nollförtroende-approach till åtkomstkontroll för att skydda sig mot moderna cyberhot.
Sammanfattning
Salesforce-attackerna 2025 utgör en av de mest omfattande SaaS-relaterade säkerhetsincidenterna någonsin. Genom en kombination av social engineering och teknisk sofistikation har hackarna lyckats kompromettera hundratals organisationer och stjäla över en miljard dataposter.
Attackerna visar att ingen organisation är för stor eller för sofistikerad för att vara säker från social engineering. De understryker vikten av en holistisk säkerhetsapproach som kombinerar tekniska kontroller, personalutbildning, kontinuerlig övervakning och proaktiv riskhantering.
Med FBI:s varningar, Salesforces vägran att betala utpressning och den pågående utredningen fortsätter situationen att utvecklas. Det som är klart är att organisationer måste ta dessa hot på allvar och implementera robusta säkerhetsåtgärder för att skydda sina Salesforce-miljöer och kunddata.
Läs mer om hur du kan skydda ditt företag mot cyberattacker och följ de senaste säkerhetsuppdateringarna från FBI och Salesforce. Cybersäkerhet är en ständigt pågående process, och att hålla sig informerad är det första steget mot bättre skydd.