Google Confirma Violação de Dados na Salesforce no Ataque ShinyHunters

Em um novo desenvolvimento em uma campanha de cibersegurança em andamento, o Google reconheceu uma violação de dados em um de seus sistemas Salesforce realizada pelo grupo de hackers ShinyHunters.

A violação, que ocorreu no início de junho, comprometeu uma das instâncias internas do Salesforce do Google, expondo informações de contato e notas relacionadas a pequenas e médias empresas. Na época, o Grupo de Inteligência de Ameaças do Google (GTIG) já havia alertado sobre essa ameaça, rotulando os atacantes como “UNC6040”, um grupo motivado financeiramente, e seu braço de extorsão como “UNC6240”.

Agora, em uma atualização de sua postagem original, o gigante da tecnologia reconheceu que foi alvo. De acordo com o GTIG, os dados roubados estavam restritos a informações comerciais “básicas e amplamente disponíveis publicamente”, como nomes de empresas e detalhes de contato. A intrusão foi supostamente breve, com o acesso sendo cortado rapidamente após a detecção.

“Em junho, uma das instâncias corporativas do Salesforce do Google foi impactada por uma atividade semelhante à UNC6040 descrita nesta postagem. O Google respondeu à atividade, realizou uma análise de impacto e começou as mitig ações”, diz a atualização do Google.

“A instância foi usada para armazenar informações de contato e notas relacionadas a pequenas e médias empresas. A análise revelou que os dados foram recuperados pelo ator de ameaça durante uma pequena janela de tempo antes que o acesso fosse cortado.”

Quem São os ShinyHunters?

ShinyHunters, um grupo de extorsão bem conhecido, foi vinculado a uma série de violações de alto perfil, incluindo na Snowflake, AT&T, NitroPDF e PowerSchool. Neste verão, eles assumiram a responsabilidade por comprometer dados do Salesforce em empresas como Adidas, Qantas, Allianz Life, Cisco, Dior, Louis Vuitton e Pandora.

Desta vez, eles usaram phishing por voz—ou “vishing”—para enganar funcionários a desistirem de acesso a serviços em nuvem como o Salesforce.

Uma Rede de Ataques em Expansão

A violação do Google é apenas uma parte de uma campanha muito maior dos ShinyHunters para roubar e transformar dados do Salesforce em armas. O grupo supostamente usa táticas de engenharia social, como se passar por suporte de TI durante chamadas convincentes, para enganar funcionários a entregarem credenciais ou aprovarem aplicativos falsos conectados à conta Salesforce de uma empresa.

Uma vez dentro, eles implantam scripts personalizados ou um Salesforce Data Loader modificado para extrair silenciosamente dados comerciais sensíveis.

Em alguns casos, os atacantes usam versões modificadas dessas ferramentas disfarçadas com nomes como “Meu Portal de Tickets” para combinar com o pretexto que usaram em suas chamadas de phishing.

Importante, esses ataques não exploram falhas no próprio Salesforce. A plataforma permanece segura. Em vez disso, os hackers dependem de erro humano, como manipular usuários a desistirem de credenciais ou aprovarem aplicativos conectados maliciosos.

Os dados roubados são então usados para exigências de resgate, com as empresas recebendo e-mails ameaçadores exigindo pagamento em bitcoin dentro de 72 horas ou correndo o risco de ter suas informações vazadas online. Em alguns casos, as empresas pagaram quantias elevadas para evitar a liberação de informações sensíveis, com uma empresa supostamente pagando $400.000 para impedir que seus dados fossem vazados online. **

Resposta do Google

Para ajudar as organizações a se protegerem contra esse tipo de ataque de engenharia social—especialmente aqueles envolvendo ferramentas como o Salesforce Data Loader—o Google compartilhou várias medidas de segurança essenciais, incluindo:

• Restringir o acesso ao Salesforce Data Loader e aplicativos conectados
• Usar restrições de acesso baseadas em IP
• Impor autenticação multifatorial (MFA) universalmente
• Monitorar grandes downloads de dados
• Limitar permissões com base em funções

“Implementando essas medidas, as organizações podem fortalecer significativamente sua postura de segurança contra os tipos de vishing e a campanha de exfiltração de dados UNC6040”, concluiu o Google.