Google подтверждает утечку данных в Salesforce в атаке ShinyHunters

В новом развитии продолжающейся кибербезопасной кампании Google признал утечку данных в одной из своих систем Salesforce, осуществленной хакерской группой ShinyHunters.

Утечка, произошедшая в начале июня, затронула один из внутренних экземпляров Salesforce Google, раскрывая контактную информацию и заметки, связанные с малым и средним бизнесом. В то время Группа угроз Google (GTIG) уже предупреждала об этой угрозе, обозначив нападающих как “UNC6040”, финансово мотивированную группу, а их вымогательское крыло как “UNC6240”.

Теперь, в обновлении к своему оригинальному посту, технологический гигант признал, что стал целью атаки. Согласно GTIG, украденные данные ограничивались “основной и в значительной степени общедоступной” бизнес-информацией, такой как названия компаний и контактные данные. Сообщается, что вторжение было кратковременным, доступ был быстро прекращен после обнаружения.

“В июне один из корпоративных экземпляров Salesforce Google был затронут аналогичной активностью UNC6040, описанной в этом посте. Google отреагировал на активность, провел анализ воздействия и начал меры по смягчению последствий,” — говорится в обновлении Google.

“Экземпляр использовался для хранения контактной информации и связанных заметок для малого и среднего бизнеса. Анализ показал, что данные были извлечены злоумышленником в течение короткого промежутка времени до того, как доступ был прекращен.”

Кто такие ShinyHunters?

ShinyHunters, известная группа вымогателей, была связана с рядом высокопрофильных утечек, включая Snowflake, AT&T, NitroPDF и PowerSchool. Этим летом они взяли на себя ответственность за компрометацию данных Salesforce в таких компаниях, как Adidas, Qantas, Allianz Life, Cisco, Dior, Louis Vuitton и Pandora.

На этот раз они использовали голосовое фишинг — или “вишинг” — чтобы обмануть сотрудников и заставить их предоставить доступ к облачным сервисам, таким как Salesforce.

Расширяющаяся сеть атак

Утечка Google — это лишь одна часть гораздо более крупной кампании ShinyHunters по краже и использованию данных Salesforce. Группа, как сообщается, использует тактики социального инжиниринга, такие как выдача себя за ИТ-поддержку во время убедительных телефонных звонков, чтобы обмануть сотрудников и заставить их передать учетные данные или одобрить поддельные приложения, связанные с аккаунтом Salesforce компании.

Оказавшись внутри, они развертывают пользовательские скрипты или модифицированный загрузчик данных Salesforce, чтобы тихо извлекать конфиденциальные бизнес-данные.

В некоторых случаях злоумышленники используют модифицированные версии этих инструментов, замаскированные под названия, такие как “Мой портал билетов”, чтобы соответствовать предлогу, который они использовали в своих фишинговых звонках.

Важно отметить, что эти атаки не используют никаких уязвимостей в самом Salesforce. Платформа остается безопасной. Вместо этого хакеры зависят от человеческой ошибки, такой как манипуляция пользователями, чтобы заставить их передать учетные данные или одобрить вредоносные подключенные приложения.

Украденные данные затем используются для требований о выкупе, при этом компании получают угрожающие электронные письма с требованием оплаты в биткойнах в течение 72 часов или рискуют тем, что их информация будет раскрыта в интернете. В некоторых случаях компании платили крупные суммы, чтобы предотвратить утечку конфиденциальной информации, при этом одна компания, как сообщается, заплатила 400 000 долларов, чтобы предотвратить утечку своих данных в интернете. **

Ответ Google

Чтобы помочь организациям защитить себя от таких атак социального инжиниринга — особенно тех, которые связаны с инструментами, такими как загрузчик данных Salesforce — Google поделился несколькими ключевыми мерами безопасности, включая:

• Ограничение доступа к загрузчику данных Salesforce и подключенным приложениям
• Использование ограничений доступа на основе IP
• Обязательное применение многофакторной аутентификации (MFA)
• Мониторинг больших загрузок данных
• Ограничение прав доступа на основе ролей

“Реализуя эти меры, организации могут значительно укрепить свою безопасность против типов вишинга и кампании по эксфиляции данных UNC6040,” — заключил Google.