Google Conferma Violazione dei Dati in Salesforce nell'Attacco di ShinyHunters

In un nuovo sviluppo in una campagna di cybersicurezza in corso, Google ha riconosciuto una violazione dei dati in uno dei suoi sistemi Salesforce effettuata dal gruppo di hacker ShinyHunters.

La violazione, avvenuta all’inizio di giugno, ha compromesso una delle istanze interne di Salesforce di Google, esponendo informazioni di contatto e note relative a piccole e medie imprese. All’epoca, il Gruppo di Intelligenza sulle Minacce di Google (GTIG) aveva già avvertito di questa minaccia, etichettando gli aggressori come “UNC6040,” un gruppo motivato finanziariamente, e il loro braccio di estorsione come “UNC6240.”

Ora, in un aggiornamento al suo post originale, il gigante tecnologico ha riconosciuto di essere stato preso di mira. Secondo il GTIG, i dati rubati erano limitati a “informazioni aziendali di base e per lo più disponibili pubblicamente,” come nomi di aziende e dettagli di contatto. L’intrusione è stata riportata come breve, con l’accesso interrotto rapidamente dopo la rilevazione.

“In giugno, una delle istanze aziendali di Salesforce di Google è stata colpita da un’attività simile a quella di UNC6040 descritta in questo post. Google ha risposto all’attività, ha effettuato un’analisi dell’impatto e ha iniziato le mitigazioni,” afferma l’aggiornamento di Google.

“L’istanza è stata utilizzata per memorizzare informazioni di contatto e note correlate per piccole e medie imprese. L’analisi ha rivelato che i dati sono stati recuperati dall’attore della minaccia durante una breve finestra di tempo prima che l’accesso fosse interrotto.”

Chi Sono gli ShinyHunters?

ShinyHunters, un noto gruppo di estorsione, è stato collegato a una serie di violazioni di alto profilo, tra cui quelle di Snowflake, AT&T, NitroPDF e PowerSchool. Quest’estate, hanno rivendicato la responsabilità per la compromissione dei dati di Salesforce in aziende come Adidas, Qantas, Allianz Life, Cisco, Dior, Louis Vuitton e Pandora.

Questa volta, hanno utilizzato il phishing vocale—o “vishing”—per ingannare i dipendenti a rinunciare all’accesso ai servizi cloud come Salesforce.

Una Rete di Attacchi in Espansione

La violazione di Google è solo un pezzo di una campagna molto più ampia da parte di ShinyHunters per rubare e armare i dati di Salesforce. Il gruppo utilizza tattiche di ingegneria sociale, come spacciarsi per supporto IT durante telefonate convincenti, per ingannare i dipendenti a consegnare credenziali o approvare app false collegate all’account Salesforce di un’azienda.

Una volta dentro, implementano script personalizzati o un Salesforce Data Loader modificato per estrarre silenziosamente dati aziendali sensibili.

In alcuni casi, gli aggressori utilizzano versioni modificate di questi strumenti mascherate con nomi come “My Ticket Portal” per adattarsi al pretesto utilizzato nelle loro chiamate di phishing.

È importante notare che questi attacchi non sfruttano alcun difetto in Salesforce stesso. La piattaforma rimane sicura. Invece, gli hacker dipendono dall’errore umano, come manipolare gli utenti a rinunciare alle credenziali o approvare app connesse malevole.

I dati rubati vengono poi utilizzati per richieste di riscatto, con le aziende che ricevono email minacciose che richiedono il pagamento in bitcoin entro 72 ore o rischiano di avere le loro informazioni diffuse online. In alcuni casi, le aziende hanno pagato somme considerevoli per prevenire la divulgazione di informazioni sensibili, con una società che ha pagato 400.000 dollari per evitare che i propri dati venissero divulgati online. **

Risposta di Google

Per aiutare le organizzazioni a proteggersi da questo tipo di attacchi di ingegneria sociale—specialmente quelli che coinvolgono strumenti come Salesforce Data Loader—Google ha condiviso diverse misure di sicurezza chiave, tra cui:

• Limitare l’accesso a Salesforce Data Loader e app connesse
• Utilizzare restrizioni di accesso basate su IP
• Applicare l’autenticazione a più fattori (MFA) in modo universale
• Monitorare per grandi download di dati
• Limitare le autorizzazioni in base ai ruoli

“Implementando queste misure, le organizzazioni possono rafforzare significativamente la loro postura di sicurezza contro i tipi di vishing e la campagna di esfiltrazione dati UNC6040,” ha concluso Google.