Google es la última empresa en sufrir una filtración de datos en una ola de ataques de robo de datos de Salesforce CRM perpetrados por el grupo de extorsión ShinyHunters.
En junio, Google advirtió que un actor de amenazas, clasificado como 'UNC6040', está atacando a empleados de empresas mediante ingeniería social de phishing de voz (vishing) para vulnerar instancias de Salesforce y descargar datos de clientes. Estos datos se utilizan posteriormente para extorsionar a las empresas y obligarlas a pagar un rescate para evitar su filtración.
En una breve actualización del artículo de anoche, Google declaró que también fue víctima del mismo ataque en junio, tras la vulneración de una de sus instancias de Salesforce CRM y el robo de datos de clientes.
"En junio, una de las instancias corporativas de Salesforce de Google se vio afectada por una actividad UNC6040 similar a la descrita en esta publicación. Google respondió a la actividad, realizó un análisis de impacto e inició medidas de mitigación", se lee en la actualización de Google.
La instancia se utilizaba para almacenar información de contacto y notas relacionadas de pequeñas y medianas empresas. El análisis reveló que el atacante recuperó los datos durante un breve periodo de tiempo antes de que se cortara el acceso. Los datos recuperados por el atacante se limitaban a información empresarial básica y, en gran medida, pública, como nombres de empresas y datos de contacto.
Google clasifica a los atacantes responsables de estos ataques como 'UNC6040' o 'UNC6240'. Sin embargo, BleepingComputer, que ha estado rastreando estos ataques, ha descubierto que un conocido atacante conocido como ShinyHunters está detrás de los ataques. Los correos de extorsión provienen de shinycorp@tuta[.]com y shinygroup@tuta[.]com.
ShinyHunters lleva años operando y es responsable de una amplia gama de brechas de seguridad, incluyendo las de at PowerSchool, Oracle Cloud, the Snowflake data-theft attacks, AT&T, NitroPDF, Wattpad, MathWay, y muchos más. En una conversación con BleepingComputer, ShinyHunters afirmó haber vulnerado muchas instancias de Salesforce, y los ataques aún continúan.
El actor de amenazas afirmó ayer a BleepingComputer que había atacado a una empresa valorada en un billón de dólares y que estaba considerando simplemente filtrar los datos en lugar de intentar extorsionarla. No está claro si esta empresa es Google.
En cuanto a las demás empresas afectadas por estos ataques, el actor de amenazas las está extorsionando por correo electrónico, exigiéndoles el pago de un rescate para evitar que los datos se filtren públicamente. Una vez que el actor de amenazas haya terminado de extorsionar a las empresas en privado, planea filtrar públicamente o vender los datos en un foro.
BleepingComputer ha tenido conocimiento de una empresa que ya ha pagado 4 bitcoins, o aproximadamente 400.000 dólares, para evitar la filtración de sus datos.
Otras empresas afectadas por estos ataques incluyen a Adidas, Qantas, Allianz Life, Cisco, and the LVMH subsidiaries Louis Vuitton, Dior, y Tiffany & Co.
Fuente: BC