Google Confirme une violation de données chez Salesforce dans l'attaque de ShinyHunters

Dans un nouveau développement d’une campagne de cybersécurité en cours, Google a reconnu une violation de données dans l’un de ses systèmes Salesforce, réalisée par le groupe de hackers ShinyHunters.

La violation, qui a eu lieu début juin, a compromis l’une des instances internes de Salesforce de Google, exposant des informations de contact et des notes liées aux petites et moyennes entreprises. À l’époque, le groupe de renseignement sur les menaces de Google (GTIG) avait déjà averti de cette menace, qualifiant les attaquants de « UNC6040 », un groupe motivé financièrement, et leur bras d’extorsion de « UNC6240 ».

Maintenant, dans une mise à jour de son post original, le géant technologique a reconnu qu’il avait été ciblé. Selon le GTIG, les données volées étaient limitées à des informations commerciales « de base et largement disponibles publiquement », telles que les noms d’entreprises et les coordonnées. L’intrusion aurait été brève, l’accès ayant été rapidement coupé après détection.

« En juin, l’une des instances Salesforce d’entreprise de Google a été impactée par une activité similaire à celle de UNC6040 décrite dans ce post. Google a réagi à l’activité, a effectué une analyse d’impact et a commencé les mesures d’atténuation », indique la mise à jour de Google.

« L’instance était utilisée pour stocker des informations de contact et des notes connexes pour les petites et moyennes entreprises. L’analyse a révélé que des données avaient été récupérées par l’acteur de la menace pendant une petite fenêtre de temps avant que l’accès ne soit coupé. »

Qui sont ShinyHunters ?

ShinyHunters, un groupe d’extorsion bien connu, a été lié à une série de violations de haut niveau, y compris chez Snowflake, AT&T, NitroPDF et PowerSchool. Cet été, ils ont revendiqué la responsabilité de la compromission des données Salesforce dans des entreprises comme Adidas, Qantas, Allianz Life, Cisco, Dior, Louis Vuitton et Pandora.

Cette fois, ils ont utilisé le phishing vocal—ou « vishing »—pour tromper les employés afin qu’ils abandonnent l’accès aux services cloud comme Salesforce.

Un réseau d’attaques en expansion

La violation de Google n’est qu’un élément d’une campagne beaucoup plus vaste de ShinyHunters pour voler et utiliser les données Salesforce. Le groupe utiliserait des tactiques d’ingénierie sociale, comme se faire passer pour un support informatique lors d’appels convaincants, pour tromper les employés afin qu’ils remettent des identifiants ou approuvent de fausses applications liées au compte Salesforce d’une entreprise.

Une fois à l’intérieur, ils déploient des scripts personnalisés ou un Salesforce Data Loader modifié pour extraire discrètement des données commerciales sensibles.

Dans certains cas, les attaquants utilisent des versions modifiées de ces outils déguisées sous des noms comme « Mon Portail de Billets » pour correspondre au prétexte qu’ils ont utilisé dans leurs appels de phishing.

Il est important de noter que ces attaques n’exploitent aucune faille dans Salesforce lui-même. La plateforme reste sécurisée. Au lieu de cela, les hackers dépendent de l’erreur humaine, comme manipuler les utilisateurs pour qu’ils abandonnent des identifiants ou approuvent des applications connectées malveillantes.

Les données volées sont ensuite utilisées pour des demandes de rançon, les entreprises recevant des e-mails menaçants exigeant un paiement en bitcoin dans les 72 heures sous peine de voir leurs informations divulguées en ligne. Dans certains cas, des entreprises ont payé des sommes importantes pour empêcher la publication d’informations sensibles, une entreprise ayant reportedly payé 400 000 $ pour empêcher que ses données ne soient divulguées en ligne. **

Réponse de Google

Pour aider les organisations à se protéger contre ce type d’attaques d’ingénierie sociale—en particulier celles impliquant des outils comme Salesforce Data Loader—Google a partagé plusieurs mesures de sécurité clés, notamment :

• Restreindre l’accès à Salesforce Data Loader et aux applications connectées
• Utiliser des restrictions d’accès basées sur l’IP
• Appliquer l’authentification multi-facteurs (MFA) de manière universelle
• Surveiller les téléchargements de grandes quantités de données
• Limiter les autorisations en fonction des rôles

« En mettant en œuvre ces mesures, les organisations peuvent considérablement renforcer leur posture de sécurité contre les types de vishing et la campagne d’exfiltration de données UNC6040 », a conclu Google.