Um grupo conhecido como ShinyHunters extraiu informações de um banco de dados da Salesforce para atividades de extorsão por e-mail. O ataque aumentou a vulnerabilidade de usuários do Gmail e do Google Workspace a tentativas de phishing.
Usuários do Gmail e do Google Workspace estão mais vulneráveis a ataques de phishing após a empresa identificar uma tentativa de invasão a um de seus bancos de dados mantidos pela Salesforce. A estratégia do grupo conhecido como ShinyHunters foi descrita recentemente em um blog da empresa de tecnologia.
Os hackers conseguiram acesso às informações de pequenas e médias empresas induzindo um funcionário da Salesforce a baixar um software malicioso enquanto se passavam por membros do suporte de TI da companhia. O caso foi relatado em 5 de agosto e o Google notificou usuários afetados.
Informações comprometidas
A análise revelou que os dados foram recuperados pelo agente da ameaça durante um curto período de tempo antes do acesso ser bloqueado. Os dados limitavam-se a informações comerciais básicas e amplamente disponíveis ao público, como nomes e detalhes de contato das empresas.
Além do Google, outras grandes empresas também foram alvo do grupo hacker neste ano, incluindo a companhia aérea Qantas, a seguradora Allianz, a gigante de tecnologia Cisco, além das marcas Louis Vuitton e Adidas. Em todos os casos, os invasores extraíram informações por meio do banco de dados da Salesforce.
Táticas de extorsão
- O Google Threat Intelligence Group tem rastreado as atividades de extorsão do grupo desde o roubo de dados. Os hackers pressionam as vítimas por meio de ligações ou e-mails exigindo pagamento em bitcoin em até 72 horas;
- Os cibercriminosos podem estar se preparando para intensificar suas táticas de extorsão, lançando um site de vazamento de dados;
- Em todos os casos de extração ilegal de dados observados até agora, os invasores se baseiam na manipulação de usuários finais, e não na exploração de vulnerabilidades do sistema da Salesforce;
- Eles guiam as vítimas para baixar uma versão modificada do Data Loader, um aplicativo projetado pela Salesforce para importação, exportação e atualização de grandes volumes de dados na própria plataforma.
Em um caso, um agente de ameaça utilizou pequenos blocos para exfiltração de dados do Salesforce, mas só conseguiu recuperar aproximadamente 10% dos dados antes da detecção e revogação do acesso. Em outro caso, inúmeras consultas de teste foram realizadas inicialmente com pequenos blocos, aumentando rapidamente o volume de exfiltração para extrair tabelas inteiras.
Como se proteger
Ataques de phishing e vishing representam 37% das invasões bem-sucedidas de contas nos serviços do Google. A melhor estratégia para evitar cair em golpes é ignorar ligações suspeitas.
- Defina uma nova senha forte;
- Configure um formulário de autenticação de dois fatores (2FA) sem SMS;
- A melhor solução para proteger o Gmail é configurar uma chave de acesso;
- Use o Programa de Proteção Avançada do Google.
