El grupo de extorsión ShinyHunters accedió a una base de datos corporativa de Google alojada en Salesforce, en una campaña que también ha afectado a otras grandes empresas como Cisco, Dior y Allianz. El incidente habría ocurrido en junio, pero fue confirmado esta semana por la empresa en su blog de inteligencia de amenazas.
Google se sumó a la lista de empresas que han sido víctimas de ataques a través de Salesforce CRM, confirmando que una de sus instancias fue comprometida por un actor de amenazas identificado como UNC6040, vinculado al grupo de ciberdelincuentes conocido como ShinyHunters. La violación se produjo en junio, y según indicó Google, los atacantes accedieron durante un breve periodo a una base de datos que contenía información de contacto y notas relacionadas con pequeñas y medianas empresas (pymes).
La empresa afirmó que la información sustraída se limitaba a “datos empresariales básicos y en su mayoría públicos”, como nombres comerciales y detalles de contacto. Tras detectar la actividad maliciosa, Google implementó medidas de mitigación e inició un análisis de impacto. Sin embargo, no se ha especificado si los atacantes exigieron un pago para evitar la filtración de los datos.
Google ya había alertado previamente sobre esta campaña de intrusión en una publicación de su equipo de inteligencia de amenazas, en la que se describía cómo los actores utilizan tácticas de ingeniería social y phishing por voz (vishing) para engañar a empleados y obtener acceso a instancias de Salesforce.
El grupo ShinyHunters, identificado como el verdadero responsable detrás de UNC6040, ha estado vinculado a múltiples violaciones de datos en los últimos años, incluyendo casos como Snowflake, AT&T, NitroPDF, Wattpad, y MathWay.
Fueron los mismos atacantes los que admitieron a medios especializados de ciberseguridad que fueron ellos los autores de la vulneración de varias instancias de Salesforce y aseguraron que los ataques siguen activos. Incluso habían mencionado anteriormente haber accedido a los datos de una empresa valorada en un billón de dólares, que podría tratarse precisamente del caso de Google, aunque no lo confirmaron.
Además de Google, otras empresas afectadas por estas intrusiones incluyen a Adidas, Qantas, Cisco, y las marcas de lujo Dior, Tiffany & Co. y Louis Vuitton. En varios de estos casos, los atacantes habrían exigido pagos para evitar la publicación de los datos robados.
En paralelo, Cisco también reconoció haber sido víctima de un ataque de vishing, donde un empleado fue engañado para conceder acceso a un sistema CRM externo. La empresa aclaró que la información comprometida se limitaba a perfiles básicos de usuarios registrados en su sitio web, y que no se vieron afectados datos confidenciales ni contraseñas.
Se teme que los atacantes estén preparando un sitio público de filtraciones para ejercer mayor presión sobre las víctimas y maximizar sus tácticas de extorsión. Como indicó Google en su actualización, “estos nuevos métodos probablemente buscan aumentar la presión sobre las víctimas”, especialmente las afectadas por las violaciones de datos relacionadas con Salesforce.