ShinyHunters detrás de ataques de Salesforce en Qantas, Allianz Life y LVMH

Iniciado por AXCESS, Julio 30, 2025, 11:29:18 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Julio 30, 2025, 11:29:18 PM


Una ola de filtraciones de datos que ha afectado a empresas como Qantas, Allianz Life, LVMH y Adidas se ha vinculado al grupo de extorsión ShinyHunters, que ha estado utilizando ataques de phishing de voz para robar datos de las instancias de Salesforce CRM.

En junio, el Grupo de Inteligencia de Amenazas de Google (GTIG) advirtió que actores de amenazas identificados como UNC6040 estaban atacando a clientes de Salesforce mediante ataques de ingeniería social.

En estos ataques, los actores de amenazas se hicieron pasar por personal de soporte de TI en llamadas telefónicas a los empleados objetivo, intentando persuadirlos para que visitaran la página de configuración de la aplicación conectada de Salesforce. En esta página, se les pidió que ingresaran un "código de conexión", que vinculaba una versión maliciosa de la aplicación Data Loader OAuth de Salesforce con el entorno de Salesforce objetivo.

En algunos casos, el componente Data Loader se renombró a "Mi Portal de Tickets" para hacerlo más convincente en los ataques.

Solicitud para ingresar el código de conexión


GTIG afirma que estos ataques se llevaron a cabo generalmente mediante vishing (phishing de voz), pero también se robaron credenciales y tokens MFA mediante páginas de phishing que suplantaban las páginas de inicio de sesión de Okta.

En la época de este informe, varias empresas informaron sobre filtraciones de datos que involucraban servicios de atención al cliente de terceros o sistemas CRM en la nube.

Las filiales de LVMH, Louis Vuitton, Dior y Tiffany & Co., revelaron accesos no autorizados a una base de datos de información de clientes. Tiffany Korea notificó a sus clientes que los atacantes habían vulnerado una plataforma de proveedores utilizada para la gestión de datos de clientes.

Adidas, Qantas y Allianz Life también reportaron brechas que involucraban sistemas de terceros, y Allianz confirmó que se trataba de una plataforma de gestión de relaciones con clientes de terceros.

"El 16 de julio de 2025, un actor de amenazas maliciosas accedió a un sistema CRM de terceros basado en la nube utilizado por Allianz Life Insurance Company of North America (Allianz Life)", declaró un portavoz de Allianz Life.

Si bien se ha tenido conocimiento de que la brecha de datos de Qantas también involucró una plataforma de gestión de relaciones con clientes de terceros, la compañía no ha confirmado que se trate de Salesforce. Sin embargo, informes previos de medios locales afirman que los datos fueron robados de la instancia de Salesforce de Qantas.

Además, documentos judiciales indican que los actores de amenazas atacaron las tablas de bases de datos "Cuentas" y "Contactos", ambos objetos de Salesforce.

Si bien ninguna de estas compañías ha mencionado públicamente a Salesforce, se ha confirmado posteriormente que todas fueron blanco de la misma campaña descrita por Google.

Los ataques aún no han provocado extorsiones públicas ni filtraciones de datos, y BleepingComputer ha descubierto que los actores de amenazas intentan extorsionar a empresas de forma privada por correo electrónico, donde se hacen llamar ShinyHunters.

Se cree que, si estos intentos de extorsión fracasan, los actores de amenazas publicarán la información robada en una larga oleada de filtraciones, similar a los ataques Snowflake anteriores de ShinyHunter.

¿Quién es ShinyHunters?

Las brechas han generado confusión entre la comunidad de ciberseguridad y los medios de comunicación, incluyendo a BleepingComputer, con los ataques atribuidos a Scattered Spider (identificado por Mandiant como UNC3944), ya que estos actores de amenazas también atacaban a los sectores de la aviación, el comercio minorista y los seguros en la misma época y mostraban tácticas similares.

Sin embargo, los actores de amenazas asociados con Scattered Spider tienden a realizar brechas de red a gran escala, que culminan con el robo de datos y, en ocasiones, ransomware. ShinyHunters, identificado como UNC6040, por otro lado, tiende a centrarse más en ataques de extorsión con robo de datos dirigidos a una plataforma en la nube o aplicación web específica.

BleepingComputer y algunos investigadores de seguridad creen que tanto UNC6040 como UNC3944 están compuestos por miembros que se superponen y se comunican dentro de las mismas comunidades en línea. También se cree que el grupo de amenazas se superpone con "The Com", una red de ciberdelincuentes angloparlantes con experiencia.

Según la información de Recorded Future, la coincidencia de TTP entre los ataques conocidos de Scattered Spider y ShinyHunters indica una probable interacción entre ambos grupos, declaró Allan Liska, analista de inteligencia de Recorded Future, a BleepingComputer.

Otros investigadores han indicado a BleepingComputer que ShinyHunters y Scattered Spider parecen operar en sintonía, atacando a las mismas industrias al mismo tiempo, lo que dificulta la atribución de los ataques.

Algunos también creen que ambos grupos tienen vínculos con actores de amenazas del ya desaparecido grupo de hackers Lapsus$. Informes indican que uno de los hackers de Scattered Spider, recientemente arrestados, también formaba parte de Lapsus$.

Otra teoría es que ShinyHunters opera como una plataforma de extorsión como servicio, donde extorsionan a empresas en nombre de otros actores de amenazas a cambio de una participación en los ingresos, de forma similar a como operan las bandas de ransomware como servicio.

Esta teoría se sustenta en conversaciones previas que BleepingComputer mantuvo con ShinyHunters, en las que afirmaron no estar detrás de una filtración de datos, sino simplemente actuar como vendedores de los datos robados.

Estas filtraciones incluyen PowerSchool, Oracle Cloud, los ataques de robo de datos de Snowflake, AT&T, NitroPDF, Wattpad, MathWay y muchas más.

ShinyHunters filtra información sobre un intento de venta de AT&T


Para complicar aún más la situación, se han producido numerosos arrestos de personas vinculadas al nombre "ShinyHunters", incluyendo a quienes fueron arrestados por los ataques de robo de datos de Snowflake, las brechas de seguridad en PowerSchool y la operación del foro de hacking Breached v2.

Sin embargo, incluso después de estos arrestos, se producen nuevos ataques con empresas que reciben correos electrónicos de extorsión que afirman "Somos ShinyHunters", refiriéndose a sí mismos como un "colectivo".

Protección de las instancias de Salesforce contra ataques

En una declaración a BleepingComputer, Salesforce enfatizó que la plataforma en sí no fue comprometida, sino que las cuentas de los clientes están siendo vulneradas mediante ingeniería social.

"Salesforce no se ha visto comprometida y los problemas descritos no se deben a ninguna vulnerabilidad conocida en nuestra plataforma. Si bien Salesforce integra seguridad de nivel empresarial en todo lo que hacemos, los clientes también desempeñan un papel fundamental en la protección de sus datos, especialmente ante el aumento de sofisticados ataques de phishing e ingeniería social", declaró Salesforce.

Seguimos animando a todos nuestros clientes a seguir las mejores prácticas de seguridad, incluyendo la activación de la autenticación multifactor (MFA), la aplicación del principio de mínimos privilegios y la gestión rigurosa de las aplicaciones conectadas. Para obtener más información, visite:

 You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Salesforce insta a sus clientes a reforzar su seguridad mediante las siguientes medidas:

Implementación de rangos de IP confiables para inicios de sesión

Aplicación del principio de privilegio mínimo para permisos de aplicaciones

Activación de la autenticación multifactor (MFA)

Restringir el uso de aplicaciones conectadas y gestionar políticas de acceso

Usar Salesforce Shield para la detección avanzada de amenazas, la monitorización de eventos y las políticas de transacciones

Agregar un contacto de seguridad designado para la comunicación de incidentes

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario