Google Confirma Brecha de Datos en Salesforce en Ataque de ShinyHunters

En un nuevo desarrollo en una campaña de ciberseguridad en curso, Google ha reconocido una brecha de datos en uno de sus sistemas de Salesforce llevada a cabo por el grupo de hackers ShinyHunters.

La brecha, que ocurrió a principios de junio, comprometió una de las instancias internas de Salesforce de Google, exponiendo información de contacto y notas relacionadas con pequeñas y medianas empresas. En ese momento, el Grupo de Inteligencia de Amenazas de Google (GTIG) ya había advertido sobre esta amenaza, etiquetando a los atacantes como “UNC6040”, un grupo motivado financieramente, y su brazo de extorsión como “UNC6240”.

Ahora, en una actualización de su publicación original, el gigante tecnológico ha reconocido que fue un objetivo. Según GTIG, los datos robados se limitaron a “información comercial básica y en gran medida disponible públicamente”, como nombres de empresas y detalles de contacto. La intrusión fue, según se informa, breve, con el acceso cortado rápidamente después de la detección.

“En junio, una de las instancias corporativas de Salesforce de Google fue impactada por una actividad similar a la UNC6040 descrita en esta publicación. Google respondió a la actividad, realizó un análisis de impacto y comenzó las mitigaciones”, dice la actualización de Google.

“La instancia se utilizó para almacenar información de contacto y notas relacionadas para pequeñas y medianas empresas. El análisis reveló que los datos fueron recuperados por el actor de la amenaza durante una pequeña ventana de tiempo antes de que se cortara el acceso.”

¿Quiénes Son ShinyHunters?

ShinyHunters, un grupo de extorsión bien conocido, ha sido vinculado a una serie de brechas de alto perfil, incluyendo en Snowflake, AT&T, NitroPDF y PowerSchool. Este verano, han reclamado la responsabilidad por comprometer datos de Salesforce en empresas como Adidas, Qantas, Allianz Life, Cisco, Dior, Louis Vuitton y Pandora.

Esta vez, han utilizado el phishing por voz—o “vishing”—para engañar a los empleados y hacer que entreguen acceso a servicios en la nube como Salesforce.

Una Red de Ataques en Expansión

La brecha de Google es solo una pieza de una campaña mucho más grande por parte de ShinyHunters para robar y armar datos de Salesforce. El grupo, según se informa, utiliza tácticas de ingeniería social, como hacerse pasar por soporte técnico durante llamadas convincentes, para engañar a los empleados y hacer que entreguen credenciales o aprueben aplicaciones falsas conectadas a la cuenta de Salesforce de una empresa.

Una vez dentro, despliegan scripts personalizados o un Salesforce Data Loader modificado para extraer silenciosamente datos comerciales sensibles.

En algunos casos, los atacantes utilizan versiones modificadas de estas herramientas disfrazadas con nombres como “My Ticket Portal” para coincidir con el pretexto que usaron en sus llamadas de phishing.

Es importante destacar que estos ataques no explotan ninguna falla en Salesforce en sí. La plataforma sigue siendo segura. En cambio, los hackers dependen del error humano, como manipular a los usuarios para que entreguen credenciales o aprueben aplicaciones conectadas maliciosas.

Los datos robados se utilizan luego para demandas de rescate, con empresas recibiendo correos electrónicos amenazantes exigiendo pago en bitcoin dentro de las 72 horas o arriesgándose a que su información se filtre en línea. En algunos casos, las empresas han pagado sumas considerables para evitar la divulgación de información sensible, con una empresa reportando haber pagado $400,000 para evitar que sus datos se filtraran en línea. **

Respuesta de Google

Para ayudar a las organizaciones a protegerse de este tipo de ataques de ingeniería social—especialmente aquellos que involucran herramientas como Salesforce Data Loader—Google ha compartido varias medidas de seguridad clave, incluyendo:

• Restringir el acceso a Salesforce Data Loader y aplicaciones conectadas
• Usar restricciones de acceso basadas en IP
• Hacer cumplir la autenticación de múltiples factores (MFA) de manera universal
• Monitorear descargas grandes de datos
• Limitar permisos basados en roles

“Al implementar estas medidas, las organizaciones pueden fortalecer significativamente su postura de seguridad contra los tipos de vishing y la campaña de exfiltración de datos UNC6040”, concluyó Google.