Google es la última empresa en sufrir una filtración de datos en una ola de
ataques de robo de datos de Salesforce CRM perpetrados por el grupo de
extorsión ShinyHunters.
En junio,
Google advirtió
que un actor de amenazas, clasificado como ‘UNC6040’, está atacando a
empleados de empresas mediante ingeniería social de phishing de voz (vishing) para vulnerar instancias de Salesforce y descargar datos de clientes. Estos
datos se utilizan posteriormente para extorsionar a las empresas y obligarlas
a pagar un rescate para evitar su filtración.
En una breve actualización del artículo de anoche, Google declaró que también
fue víctima del mismo ataque en junio, tras la vulneración de una de sus
instancias de Salesforce CRM y el robo de datos de clientes.
«En junio, una de las instancias corporativas de Salesforce de Google se
vio afectada por una actividad UNC6040 similar a la descrita en esta
publicación. Google respondió a la actividad, realizó un análisis de impacto
e inició medidas de mitigación», se lee en la
actualización de Google.
La instancia se utilizaba para almacenar información de contacto y notas
relacionadas de pequeñas y medianas empresas. El análisis reveló que el
atacante recuperó los datos durante un breve periodo de tiempo antes de que se
cortara el acceso. Los datos recuperados por el atacante se limitaban a
información empresarial básica y, en gran medida, pública, como nombres de
empresas y datos de contacto.
Google clasifica a los atacantes responsables de estos ataques como ‘UNC6040’
o ‘UNC6240’. Sin embargo, BleepingComputer, que ha estado rastreando estos
ataques, ha descubierto que un conocido atacante conocido como
ShinyHunters está detrás de los ataques. Los correos de extorsión provienen de shinycorp@tuta[.]com y
shinygroup@tuta[.]com.
ShinyHunters lleva años operando y es responsable de una amplia gama de
brechas de seguridad, incluyendo las de at
PowerSchool,
Oracle Cloud, the
Snowflake data-theft attacks,
AT&T,
NitroPDF,
Wattpad,
MathWay, y
muchos más. En una conversación con BleepingComputer,
ShinyHunters afirmó
haber vulnerado muchas instancias de Salesforce, y los ataques aún continúan.
El actor de amenazas afirmó ayer a BleepingComputer que había atacado a una
empresa valorada en un billón de dólares y que estaba considerando simplemente
filtrar los datos en lugar de intentar extorsionarla. No está claro si esta
empresa es Google.
En cuanto a las demás empresas afectadas por estos ataques, el actor de
amenazas las está extorsionando por correo electrónico, exigiéndoles el pago
de un rescate para evitar que los datos se filtren públicamente. Una vez que
el actor de amenazas haya terminado de extorsionar a las empresas en privado,
planea filtrar públicamente o vender los datos en un foro.
BleepingComputer ha tenido conocimiento de una empresa que ya ha pagado 4
bitcoins, o aproximadamente 400.000 dólares, para evitar la filtración de sus
datos.
Otras empresas afectadas por estos ataques incluyen a
Adidas,
Qantas,
Allianz Life,
Cisco, and the LVMH subsidiaries
Louis Vuitton,
Dior, y
Tiffany & Co.
Fuente:
BC