Google ha confirmado que fue víctima de un incidente de seguridad en junio de este año, como parte de una serie de ataques contra empresas que utilizan la plataforma Salesforce para la gestión de relaciones con clientes (CRM) con el objetivo de exfiltrar información y utilizarla para extorsionar o solicitar rescates. Detrás de esta campaña podrían encontrarse varios grupos de cibercrimen.
Según la compañía, el ataque comprometió una de sus instancias corporativas de Salesforce, utilizada para almacenar información de contacto y notas relacionadas con pequeñas y medianas empresas (PYMES). Aunque el acceso no autorizado duró un breve periodo de tiempo antes de ser detectado y bloqueado, los atacantes lograron llevar a cabo una exfiltración de datos. Google subrayó que la información robada se limitaba a nombres de empresas y datos de contacto, en su mayoría públicos.
El Grupo de Inteligencia de Amenazas de Google (GTIG) ha identificado una actividad inicial bajo el nombre UNC6040, que consistiría en el uso de técnicas de vishing (estafas telefónicas) e ingeniería social, que, según afirma, presenta características que se alinean con grupos de amenazas vinculados a un colectivo de ciberdelincuencia en línea conocido como The Com. El GTIG identifica una actividad posterior, UNC6240, que habría sido reclamada por el conocido grupo de hackers ShinyHunters y que se encargaría de realizar las extorsiones.
Las coincidencias de UNC6040 con grupos vinculados a The Com se deben al robo de credenciales de Okta y al uso de ingeniería social a través del soporte informático, una táctica adoptada por Scattered Spider, otro actor de amenazas con motivaciones económicas que forma parte de este colectivo organizado de forma flexible.
Las investigaciones indican que los actores de amenazas se harían pasar por personal de soporte técnico para engañar a empleados para que realicen acciones que les otorgarían acceso o permitirían el intercambio de información valiosa, como credenciales, que posteriormente se utilizarían para facilitar el robo de datos. En muchos casos, los atacantes intentan convencer a las víctimas de instalar versiones modificadas de la herramienta Salesforce Data Loader, lo que les permitiría vincular aplicaciones maliciosas y extraer datos.
Este patrón de ataque no explota vulnerabilidades en la infraestructura de Salesforce, sino que se basa en manipular a los usuarios para obtener credenciales o acceso legítimo. Google y expertos en ciberseguridad han advertido que, en algunos incidentes, los delincuentes también han intentado acceder a otros servicios corporativos como Okta, Workplace o Microsoft 365, tras la intrusión inicial.
El grupo ShinyHunters estaría utilizando la información exfiltrada para extorsionar a las empresas afectadas exigiendo pagos en criptomonedas a cambio de no filtrar los datos. Además, el grupo habría advertido que, una vez finalizadas estas extorsiones privadas, planearían vender o liberar los datos en foros clandestinos de internet. En al menos un caso confirmado, una compañía habría pagado 4 bitcoins (aproximadamente 400.000 dólares) para evitar la publicación de la información robada.
Google no ha revelado si recibió demandas de rescate, pero sí reconoció que su caso forma parte de la misma campaña que ya ha afectado a aproximadamente 20 entidades de los sectores de la hostelería, el comercio minorista, la educación y otros sectores en América y Europa, incluyendo firmas como Adidas, Qantas, Allianz Life, Cisco y marcas de LVMH como Louis Vuitton, Dior y Tiffany & Co.
Expertos en ciberseguridad recomiendan a las organizaciones:
- Implementar autenticación multifactor en todas las cuentas con acceso a Salesforce.
- Limitar el acceso únicamente al personal que lo requiera.
- Supervisar y auditar regularmente las aplicaciones conectadas.
- Capacitar a los empleados para reconocer intentos de vishing e ingeniería social.
Este incidente refuerza la advertencia de que incluso corporaciones tecnológicas de gran tamaño pueden ser vulnerables a ataques bien orquestados que combinan manipulación humana con técnicas de intrusión avanzadas.
Más información:
- Google Exposes Vishing Group UNC6040 Targeting Salesforce with Fake Data Loader App
- Google suffers data breach in ongoing Salesforce data theft attacks
Deja una respuesta