Утечка данных Google после атаки на пользователей Salesforce

Компания Google раскрыла утечку данных после взлома корпоративной CRM-системы. Утечка данных произошла в рамках глобальной фишинговой кампании, нацеленной на пользователей Salesforce.

Во вторник, 5 августа, корпорация Google сообщила, что одна из ее CRM-систем Salesforce была взломана злоумышленниками. Инцидент произошел в июне. Технологический гигант связывает его с операцией хакеров, затронувшей ряд крупных компаний.

Google заявила, что в ходе инцидента ИБ была скомпрометирована контактная информация. Кроме того, из взломанной системы хакеры получили заметки о компаниях малого и среднего бизнеса.

Первоначальное расследование показало, что доступ злоумышленников к конфиденциальной информации был кратковременным, специалистам Google удалось оперативно его прервать.

В начале июня 2025 года Google предупреждала, что хакер под псевдонимом UNC6040, который специализируется на голосовом фишинге (вишинг), атакует клиентов компании Salesforce в рамках глобальной кампании по краже данных и вымогательству.

В то же время Google обнаружила связи UNC6040 с хакерскими группировками Scattered Spider и ShinyHunters. По иронии судьбы, информация об атаке на собственный экземпляр Salesforce была раскрыта в блоге, где Google ранее описывала атаки со стороны хакера UNC6040. Теперь корпорация подтвердила, что он сотрудничает с ShinyHunters.

Как уточнил технологический гигант, у злоумышленников, атакующих клиентов Salesforce, существует разделение труда. Так, UNC6040 реализует первоначальное вторжение, в то время как другой нарушитель, обозначенный как UNC6240, отвечает за вымогательство, причем шантаж жертв может происходить через несколько месяцев после кражи данных.

«Тактика вымогательства включает звонки или электронные письма сотрудникам пострадавшей организации с требованием заплатить выкуп в биткоинах в течение 72 часов. В рамках этих коммуникаций UNC6240 постоянно подчеркивал, что является участником группировки ShinyHunters», — заявила Google.

Кроме того, специалисты Google полагают, что злоумышленники, использующие «бренд» ShinyHunters, могут готовиться к эскалации своей тактики вымогательства, запустив сайт, посвященный утечкам данных. Используя этот ресурс, хакеры, вероятно, планируют усилить давление на жертв, в том числе на те компании, которые недавно пострадали в ходе атак UNC6040 на клиентов Salesforce.

Опираясь на данные группировки ShinyHunters, журналисты Bleeping Computer сообщили, что недавние утечки данных, о которых уведомили компании Adidas, Allianz Life, Cisco, Dior, Louis Vuitton и другие, являются результатом той же хакерской кампании, нацеленной на экземпляры Salesforce.

Напомним, что недавно об утечке данных из своей CRM-системы также сообщил ювелирный бренд Pandora. Он стал жертвой той же хакерской кампании с использованием вишинга.

Компания Salesforce отмечает, что ее собственные системы не были скомпрометированы, и в ходе атак хакеры не эксплуатируют никакие уязвимости ее платформы. Salesforce полагает, что все недавние атаки, направленные на ее клиентов, являются результатом применения изощренной фишинговой тактики и других методов социальной инженерии.

По данным СМИ, группировки ShinyHunters и Scattered Spider недавно объединились. Они продолжают активную деятельность, несмотря на арест нескольких своих участников.

Источник: Security Week