Google bestätigt Datenpanne bei Salesforce im ShinyHunters-Angriff

In einer neuen Entwicklung einer laufenden Cybersecurity-Kampagne hat Google eine Datenpanne in einem seiner Salesforce-Systeme anerkannt, die von der Hackergruppe ShinyHunters durchgeführt wurde.

Die Panne, die Anfang Juni auftrat, kompromittierte eine der internen Salesforce-Instanzen von Google und legte Kontaktinformationen und Notizen zu kleinen und mittelständischen Unternehmen offen. Damals hatte die Threat Intelligence Group (GTIG) von Google bereits vor dieser Bedrohung gewarnt und die Angreifer als „UNC6040“ bezeichnet, eine finanziell motivierte Gruppe, und ihren Erpressungsarm als „UNC6240“.

Jetzt hat der Technologieriese in einem Update zu seinem ursprünglichen Beitrag anerkannt, dass er Ziel eines Angriffs war. Laut GTIG beschränkten sich die gestohlenen Daten auf „grundlegende und größtenteils öffentlich verfügbare“ Geschäftsinformationen, wie z. B. Firmennamen und Kontaktdaten. Der Eindringling war Berichten zufolge kurz, der Zugang wurde schnell nach der Entdeckung unterbrochen.

„Im Juni wurde eine der Unternehmens-Salesforce-Instanzen von Google von ähnlichen UNC6040-Aktivitäten betroffen, die in diesem Beitrag beschrieben sind. Google reagierte auf die Aktivitäten, führte eine Auswirkungenanalyse durch und begann mit den Gegenmaßnahmen“, sagt Googles Update.

„Die Instanz wurde verwendet, um Kontaktinformationen und verwandte Notizen für kleine und mittelständische Unternehmen zu speichern. Die Analyse ergab, dass Daten vom Bedrohungsakteur während eines kurzen Zeitfensters abgerufen wurden, bevor der Zugang unterbrochen wurde.“

Wer sind ShinyHunters?

ShinyHunters, eine bekannte Erpressungsgruppe, wird mit einer Reihe von hochkarätigen Datenpannen in Verbindung gebracht, darunter bei Snowflake, AT&T, NitroPDF und PowerSchool. In diesem Sommer haben sie die Verantwortung für die Kompromittierung von Salesforce-Daten bei Unternehmen wie Adidas, Qantas, Allianz Life, Cisco, Dior, Louis Vuitton und Pandora übernommen.

Dieses Mal haben sie Voice Phishing – oder „Vishing“ – eingesetzt, um Mitarbeiter dazu zu bringen, den Zugang zu Cloud-Diensten wie Salesforce preiszugeben.

Ein sich ausbreitendes Netz von Angriffen

Googles Datenpanne ist nur ein Teil einer viel größeren Kampagne von ShinyHunters, um Salesforce-Daten zu stehlen und zu waffen. Die Gruppe nutzt Berichten zufolge Social-Engineering-Taktiken, wie z. B. sich als IT-Support auszugeben, während sie überzeugende Telefonanrufe tätigen, um Mitarbeiter dazu zu bringen, Anmeldeinformationen preiszugeben oder gefälschte Apps zu genehmigen, die mit dem Salesforce-Konto eines Unternehmens verbunden sind.

Sobald sie drin sind, setzen sie benutzerdefinierte Skripte oder einen modifizierten Salesforce Data Loader ein, um still und leise sensible Geschäftsdaten zu extrahieren.

In einigen Fällen verwenden die Angreifer modifizierte Versionen dieser Tools, die mit Namen wie „My Ticket Portal“ getarnt sind, um dem Vorwand zu entsprechen, den sie in ihren Phishing-Anrufen verwendet haben.

Wichtig ist, dass diese Angriffe keine Schwachstellen in Salesforce selbst ausnutzen. Die Plattform bleibt sicher. Stattdessen verlassen sich die Hacker auf menschliche Fehler, wie z. B. das Manipulieren von Benutzern, um Anmeldeinformationen preiszugeben oder bösartige verbundene Apps zu genehmigen.

Die gestohlenen Daten werden dann für Erpressungsforderungen verwendet, wobei Unternehmen drohende E-Mails erhalten, in denen sie zur Zahlung in Bitcoin innerhalb von 72 Stunden aufgefordert werden, oder das Risiko besteht, dass ihre Informationen online geleakt werden. In einigen Fällen haben Unternehmen hohe Summen gezahlt, um die Veröffentlichung sensibler Informationen zu verhindern, wobei ein Unternehmen Berichten zufolge 400.000 USD gezahlt hat, um zu verhindern, dass seine Daten online geleakt werden. **

Googles Antwort

Um Organisationen zu helfen, sich vor diesen Arten von Social-Engineering-Angriffen – insbesondere solchen, die Tools wie den Salesforce Data Loader betreffen – zu schützen, hat Google mehrere wichtige Sicherheitsmaßnahmen geteilt, darunter:

• Einschränkung des Zugangs zum Salesforce Data Loader und zu verbundenen Apps
• Verwendung von IP-basierten Zugriffsrestriktionen
• Durchsetzung der Multi-Faktor-Authentifizierung (MFA) universell
• Überwachung großer Daten-Downloads
• Einschränkung der Berechtigungen basierend auf Rollen

„Durch die Implementierung dieser Maßnahmen können Organisationen ihre Sicherheitslage gegen die Arten von Vishing und die UNC6040-Datenexfiltrationskampagne erheblich stärken“, schloss Google.