🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie o projeto e divulgue suas redes! Clique aqui
Uma onda de violações de dados que afetam empresas como Qantas, Allianz Life, LVMH e Adidas tem sido associada ao grupo de extorsão Shinyhunters, que vem usando ataques de phishing de voz para roubar dados das instâncias do Salesforce CRM.
Em junho, o Grupo de Inteligência de Ameaças do Google (GTIG) alertou que os atores de ameaças rastrearam, pois a UNC6040 estava visando clientes do Salesforce em ataques de engenharia social.
Nesses ataques, os atores de ameaças representavam a equipe de suporte de TI em chamadas telefônicas para funcionários direcionados, tentando convencê -los a visitar a página de configuração do aplicativo conectada do Salesforce. Nesta página, eles foram instruídos a inserir um "código de conexão", que vinculou uma versão maliciosa do aplicativo OAUTH do carregador de dados do Salesforce ao ambiente do Salesforce da meta.
Em alguns casos, o componente do carregador de dados foi renomeado para "meu portal de ingressos", para torná -lo mais convincente nos ataques.
Prompt para entrar no Código de Conexão: Google
O GTIG diz que esses ataques eram geralmente conduzidos através do Vising (Phishing), mas credenciais e tokens de MFA também foram roubados através de páginas de phishing que personificaram as páginas de login de Okta.
Na época deste relatório, várias empresas relataram violações de dados envolvendo atendimento ao cliente de terceiros ou sistemas de CRM baseados em nuvem.
As subsidiárias da LVMH Louis Vuitton, Dior, e a Tiffany & Co., cada uma divulgou acesso não autorizado a um banco de dados de informações do cliente, com a Tiffany Korea notificando os clientes que os atacantes violaram uma "plataforma de fornecedores usada para gerenciar dados do cliente".
Adidas, Qantas e Allianz Life também relataram violações envolvendo sistemas de terceiros, com a Allianz confirmando que era uma plataforma de gerenciamento de relacionamento com clientes de terceiros.
"Em 16 de julho de 2025, um ator malicioso de ameaças obteve acesso a um sistema de CRM baseado em nuvem de terceiros usado pela Allianz Life Insurance Company of North America (Allianz Life)", disse um porta-voz da Allianz Life à BleepingComputer.
Embora o BleepingComputer tenha aprendido que a violação de dados da Qantas também envolveu uma plataforma de gerenciamento de relacionamento com clientes de terceiros, a empresa não confirmará que é o Salesforce. No entanto, os relatórios anteriores da mídia local afirmam que os dados foram roubados da instância do Salesforce da Qantas.
Além disso, os documentos judiciais afirmam que os atores de ameaças direcionaram as tabelas de banco de dados "contas" e "contatos", ambos dos quais são objetos do Salesforce.
Embora nenhuma dessas empresas tenha nomeado publicamente o Salesforce, o BleepingComputer confirmou que todos foram direcionados na mesma campanha detalhada pelo Google.
Os ataques ainda não levaram à extorsão pública ou aos vazamentos de dados, com o BleepingComputer aprendendo que os atores de ameaças estão tentando extorquir em particular as empresas por e -mail, onde se nomeam como Shinyhunters.
Acredita -se que, quando essas tentativas de extorsão falham, os atores de ameaças liberarão informações roubadas em uma longa onda de vazamentos, semelhante aos ataques anteriores de floco de neve do Shinyhunter.
Quem é Shinyhunters
As violações causaram confusão entre a comunidade de segurança cibernética e a mídia, incluindo o BleepingComputer, com os ataques atribuídos à aranha dispersa (rastreada por Mandiant como UNC3944), pois esses atores de ameaças também visavam os setores de aviação, varejo e seguros na mesma época e demonstraram táticas semelhantes.
No entanto, os atores de ameaças associados à aranha dispersa tendem a executar violações de rede completas, culminando com roubo de dados e, às vezes, ransomware. Os ShinyHunters, rastreados como UNC6040, por outro lado, tendem a se concentrar mais nos ataques de extorsão de roubo de dados direcionados a uma plataforma em nuvem ou aplicativo da Web específico.
É a crença de BleepingComputer e alguns pesquisadores de segurança de que a UNC6040 e a UNC3944 consistem em membros sobrepostos que se comunicam nas mesmas comunidades on -line. Acredita-se também que o grupo de ameaças se sobreponha ao "com", uma rede de cibercriminosos experientes em inglês.
"De acordo com a inteligência futura registrada, os TTPs sobrepostos entre os ataques de aranha espalhada e os ataques brilhantes indicam provavelmente algum cruzamento entre os dois grupos", disse Allan Liska, analista de inteligência do Future Recorded, BleepingComputer.
Outros pesquisadores disseram ao BleepingComputer que Shinyhunters e Spider espalhados parecem estar operando em Lockstep, visando os mesmos setores ao mesmo tempo, dificultando a atribuição de ataques.
Alguns também acreditam que ambos os grupos têm laços de ameaçar atores do agora extinto Lapsus $ Hacking Group, com relatórios indicando que um dos hackers de aranha espalhados recentemente presos também estava em Lapsus $.
Outra teoria é que os Shinyhunters estão atuando como uma extorsão como serviço, onde extorquirem empresas em nome de outros atores de ameaças em troca de uma participação de receita, semelhante à maneira como as gangues de ransomware como serviço operam.
Esta teoria é apoiada por anterior
Em junho, o Grupo de Inteligência de Ameaças do Google (GTIG) alertou que os atores de ameaças rastrearam, pois a UNC6040 estava visando clientes do Salesforce em ataques de engenharia social.
Nesses ataques, os atores de ameaças representavam a equipe de suporte de TI em chamadas telefônicas para funcionários direcionados, tentando convencê -los a visitar a página de configuração do aplicativo conectada do Salesforce. Nesta página, eles foram instruídos a inserir um "código de conexão", que vinculou uma versão maliciosa do aplicativo OAUTH do carregador de dados do Salesforce ao ambiente do Salesforce da meta.
Em alguns casos, o componente do carregador de dados foi renomeado para "meu portal de ingressos", para torná -lo mais convincente nos ataques.
Prompt para entrar no Código de Conexão: Google
O GTIG diz que esses ataques eram geralmente conduzidos através do Vising (Phishing), mas credenciais e tokens de MFA também foram roubados através de páginas de phishing que personificaram as páginas de login de Okta.
Na época deste relatório, várias empresas relataram violações de dados envolvendo atendimento ao cliente de terceiros ou sistemas de CRM baseados em nuvem.
As subsidiárias da LVMH Louis Vuitton, Dior, e a Tiffany & Co., cada uma divulgou acesso não autorizado a um banco de dados de informações do cliente, com a Tiffany Korea notificando os clientes que os atacantes violaram uma "plataforma de fornecedores usada para gerenciar dados do cliente".
Adidas, Qantas e Allianz Life também relataram violações envolvendo sistemas de terceiros, com a Allianz confirmando que era uma plataforma de gerenciamento de relacionamento com clientes de terceiros.
"Em 16 de julho de 2025, um ator malicioso de ameaças obteve acesso a um sistema de CRM baseado em nuvem de terceiros usado pela Allianz Life Insurance Company of North America (Allianz Life)", disse um porta-voz da Allianz Life à BleepingComputer.
Embora o BleepingComputer tenha aprendido que a violação de dados da Qantas também envolveu uma plataforma de gerenciamento de relacionamento com clientes de terceiros, a empresa não confirmará que é o Salesforce. No entanto, os relatórios anteriores da mídia local afirmam que os dados foram roubados da instância do Salesforce da Qantas.
Além disso, os documentos judiciais afirmam que os atores de ameaças direcionaram as tabelas de banco de dados "contas" e "contatos", ambos dos quais são objetos do Salesforce.
Embora nenhuma dessas empresas tenha nomeado publicamente o Salesforce, o BleepingComputer confirmou que todos foram direcionados na mesma campanha detalhada pelo Google.
Os ataques ainda não levaram à extorsão pública ou aos vazamentos de dados, com o BleepingComputer aprendendo que os atores de ameaças estão tentando extorquir em particular as empresas por e -mail, onde se nomeam como Shinyhunters.
Acredita -se que, quando essas tentativas de extorsão falham, os atores de ameaças liberarão informações roubadas em uma longa onda de vazamentos, semelhante aos ataques anteriores de floco de neve do Shinyhunter.
Quem é Shinyhunters
As violações causaram confusão entre a comunidade de segurança cibernética e a mídia, incluindo o BleepingComputer, com os ataques atribuídos à aranha dispersa (rastreada por Mandiant como UNC3944), pois esses atores de ameaças também visavam os setores de aviação, varejo e seguros na mesma época e demonstraram táticas semelhantes.
No entanto, os atores de ameaças associados à aranha dispersa tendem a executar violações de rede completas, culminando com roubo de dados e, às vezes, ransomware. Os ShinyHunters, rastreados como UNC6040, por outro lado, tendem a se concentrar mais nos ataques de extorsão de roubo de dados direcionados a uma plataforma em nuvem ou aplicativo da Web específico.
É a crença de BleepingComputer e alguns pesquisadores de segurança de que a UNC6040 e a UNC3944 consistem em membros sobrepostos que se comunicam nas mesmas comunidades on -line. Acredita-se também que o grupo de ameaças se sobreponha ao "com", uma rede de cibercriminosos experientes em inglês.
"De acordo com a inteligência futura registrada, os TTPs sobrepostos entre os ataques de aranha espalhada e os ataques brilhantes indicam provavelmente algum cruzamento entre os dois grupos", disse Allan Liska, analista de inteligência do Future Recorded, BleepingComputer.
Outros pesquisadores disseram ao BleepingComputer que Shinyhunters e Spider espalhados parecem estar operando em Lockstep, visando os mesmos setores ao mesmo tempo, dificultando a atribuição de ataques.
Alguns também acreditam que ambos os grupos têm laços de ameaçar atores do agora extinto Lapsus $ Hacking Group, com relatórios indicando que um dos hackers de aranha espalhados recentemente presos também estava em Lapsus $.
Outra teoria é que os Shinyhunters estão atuando como uma extorsão como serviço, onde extorquirem empresas em nome de outros atores de ameaças em troca de uma participação de receita, semelhante à maneira como as gangues de ransomware como serviço operam.
Esta teoria é apoiada por anterior
#samirnews #samir #news #boletimtec #shinyhunters #por #trás #dos #ataques #de #roubo #de #dados #do #salesforce #na #qantas, #allianz #life #e #lvmh
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário