Google és l’última empresa que ha patit una violació de dades en una onada contínua d’atacs de robatori de dades de Salesforce CRM perpetrats pel grup d’extorsió ShinyHunters.

Al juny, Google va advertir que un actor d’amenaces que classifiquen com a “UNC6040” s’estava adreçant als empleats de les empreses en atacs d’enginyeria social de pesca de veu (vishing) per violar les instàncies de Salesforce i descarregar dades dels clients. A continuació, aquestes dades es fan servir per extorsionar les empreses perquè paguin un rescat per evitar que es filtrin les dades.

En una breu actualització de l’article ahir a la nit, Google va dir que també va ser víctima del mateix atac al juny després que una de les seves instàncies de Salesforce CRM es va trencar i es van robar les dades dels clients.

«Al juny, una de les instàncies corporatives de Salesforce de Google es va veure afectada per una activitat similar a UNC6040 descrita en aquesta publicació. Google va respondre a l’activitat, va dur a terme una anàlisi d’impacte i va començar les mitigacions», es pot llegir a l’actualització de Google.

«La instància es va utilitzar per emmagatzemar informació de contacte i notes relacionades per a petites i mitjanes empreses. L’anàlisi va revelar que l’actor de l’amenaça va recuperar les dades durant un petit període de temps abans que se’n tallés l’accés.»

«Les dades recuperades per l’actor de l’amenaça es limitaven a la informació comercial bàsica i en gran part disponible públicament, com ara noms comercials i dades de contacte.»

Google està classificant els actors de l’amenaça darrere d’aquests atacs com «UNC6040» o «UNC6240». No obstant això, BleepingComputer, que ha fet el seguiment d’aquests atacs, ha sabut que un actor d’amenaces conegut com a ShinyHunters està darrere dels atacs.

ShinyHunters fa anys que existeix, responsable d’una àmplia gamma d’incompliments, incloses les de PowerSchool, Oracle Cloud, el Atacs de robatori de dades d‘SnowFlake, AT&T, NitroPDF, Wattpad, MathWay, i molts més.

En una conversa amb BleepingComputer ahir, ShinyHunters va afirmar haver infringit moltes instàncies de Salesforce, amb atacs encara en curs.

L’actor d’amenaça va afirmar ahir a BleepingComputer que van violar una empresa de bilions de dòlars i que estaven considerant filtrar les dades en lloc d’intentar extorsionar-les. No queda clar si aquesta empresa és Google.

Pel que fa a les altres empreses afectades en aquests atacs, l’actor de l’amenaça les està extorsionant per correu electrònic, exigint que paguin un rescat per evitar que les dades es filtrin públicament.

Un cop l’actor de l’amenaça hagi acabat d’extorsionar les empreses de manera privada, planegen filtrar o vendre dades públicament en un fòrum de pirateria.

BleepingComputer ha sabut que una empresa ja ha pagat 4 bitcoins, o aproximadament 400.000 dòlars, per evitar la filtració de les seves dades.

Altres empreses afectades en aquests atacs han estat Adidas, Qantas, Allianz Vida, Cisco, i les filials de LVMH Louis Vuitton, Dior, i Tiffany & Co.