📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O Bureau Federal de Investigação dos EUA (FBI) emitiu um alerta de flash para liberar indicadores de compromisso (IOCs) associados a dois grupos cibercriminais rastreados como UNC6040 e UNC6395 para uma série de ataques de roubo de dados e ataques de extorsão.
"Ambos os grupos foram observados recentemente direcionados às plataformas de vendas das organizações por meio de diferentes mecanismos de acesso inicial", afirmou o FBI.
UNC6395 é um grupo de ameaças que foi atribuÃdo a uma campanha de roubo de dados generalizada direcionada a instâncias do Salesforce em agosto de 2025, explorando tokens OAuth comprometidos para o aplicativo de deriva da Salesloft. Em uma atualização emitida nesta semana, a Salesloft disse que o ataque foi possÃvel devido à violação de sua conta do GitHub de março a junho de 2025.
Como resultado da violação, a Salesloft isolou a infraestrutura de deriva e pegou o aplicativo de chatbot de inteligência artificial (AI) offline. A empresa também disse que está no processo de implementação de novos processos de autenticação de vários fatores e medidas de endurecimento do GitHub.
"Estamos focados no endurecimento contÃnuo do ambiente de aplicativos de deriva", afirmou a empresa. "Esse processo inclui credenciais rotativas, desativando temporariamente certas partes do aplicativo de deriva e fortalecendo as configurações de segurança". "No momento, estamos aconselhando todos os clientes a tratar toda e qualquer integra de deriva e dados relacionados como potencialmente comprometidos".
O segundo grupo para o qual o FBI chamou a atenção é UNC6040. Avaliado como ativo desde outubro de 2024, a UNC6040 é o nome atribuÃdo pelo Google a um cluster de ameaças motivadas financeiramente que se envolveu em campanhas de vingança para obter acesso inicial e sequestrar instâncias do Salesforce por roubo de dados em larga escala e extorsão.
Esses ataques envolveram o uso de uma versão modificada do aplicativo de carregador de dados do Salesforce e scripts Python personalizados para violar os portais do Salesforce das vÃtimas e exfiltrar dados valiosos. Pelo menos alguns dos incidentes envolveram atividades de extorsão após intrusões da UNC6040, com eles ocorrendo meses após o roubo inicial de dados.
"Os atores de ameaças da UNC6040 utilizaram painéis de phishing, instruindo as vÃtimas a visitar de seus telefones celulares ou computadores de trabalho durante as chamadas de engenharia social", disse o FBI. "Após obter acesso, os atores de ameaças da UNC6040 usaram consultas de API para exfiltrar grandes volumes de dados a granel".
A fase de extorsão foi atribuÃda pelo Google a outro cluster sem categoria rastreado como UNC6240, que consistentemente alegou ser o grupo Shinyhunters em e -mails e chamadas para funcionários de organizações de vÃtimas.
"Além disso, acreditamos que os atores de ameaças que usam a marca 'Shinyhunters' podem estar se preparando para escalar suas táticas de extorsão lançando um site de vazamento de dados (DLS)", observou o Google no mês passado. "Essas novas táticas provavelmente pretendem aumentar a pressão sobre as vÃtimas, incluindo as associadas à s recentes violações de dados relacionadas ao Salesforce da UNC6040".
Desde então, houve uma enxurrada de desenvolvimentos, sendo a mais notável a parceria de caçadores brilhantes, aranha dispersa e lapsus $ para consolidar e unificar seus esforços criminais. Então, em 12 de setembro de 2025, o grupo reivindicou em seu canal de telegrama "Lapsus $ caçadores 4,0" que eles estão fechando.
"Lapsus $, Trihash, Yurosh, Yaxsh, Wytrozz, N3Z0X, Nitroz, Toxiqueroot, Prosox, Pertinax, Kurosh, Clown, Intelbroker, Spider Spider, Yukari e, entre muitos, decidimos escurecer", disse o grupo. "Nossos objetivos foram cumpridos, agora é hora de dizer adeus."
Atualmente, não está claro o que levou o grupo a pendurar suas botas, mas é possÃvel que a mudança seja uma tentativa de ficar baixa e evitar mais atenção da aplicação da lei.
"O recém -formado Grupo Lapsus $ Hunters 4.0 disse que está pendurado nas botas e 'Go Dark' depois que alegou que a aplicação da lei francesa prendeu outra pessoa errada em conexão com o Cybercrime Group", disse Sam Rubin, vice -presidente sênior da unidade 42 Consulting and Threat Intelligence, ao The Hacker News. "Essas declarações raramente sinalizam uma verdadeira aposentadoria".
"As prisões recentes podem ter levada o grupo a ficar baixo, mas a história nos diz que isso geralmente é temporário. Grupos como essa lasca, rebrand e ressurgir-muito parecidos com falhas brilhantes. Mesmo que as operações públicas pausem, os riscos permanecem: os dados roubados podem ressuscitar os novos nomes. que a ameaça não desapareceu, apenas adaptada ".
"Ambos os grupos foram observados recentemente direcionados às plataformas de vendas das organizações por meio de diferentes mecanismos de acesso inicial", afirmou o FBI.
UNC6395 é um grupo de ameaças que foi atribuÃdo a uma campanha de roubo de dados generalizada direcionada a instâncias do Salesforce em agosto de 2025, explorando tokens OAuth comprometidos para o aplicativo de deriva da Salesloft. Em uma atualização emitida nesta semana, a Salesloft disse que o ataque foi possÃvel devido à violação de sua conta do GitHub de março a junho de 2025.
Como resultado da violação, a Salesloft isolou a infraestrutura de deriva e pegou o aplicativo de chatbot de inteligência artificial (AI) offline. A empresa também disse que está no processo de implementação de novos processos de autenticação de vários fatores e medidas de endurecimento do GitHub.
"Estamos focados no endurecimento contÃnuo do ambiente de aplicativos de deriva", afirmou a empresa. "Esse processo inclui credenciais rotativas, desativando temporariamente certas partes do aplicativo de deriva e fortalecendo as configurações de segurança". "No momento, estamos aconselhando todos os clientes a tratar toda e qualquer integra de deriva e dados relacionados como potencialmente comprometidos".
O segundo grupo para o qual o FBI chamou a atenção é UNC6040. Avaliado como ativo desde outubro de 2024, a UNC6040 é o nome atribuÃdo pelo Google a um cluster de ameaças motivadas financeiramente que se envolveu em campanhas de vingança para obter acesso inicial e sequestrar instâncias do Salesforce por roubo de dados em larga escala e extorsão.
Esses ataques envolveram o uso de uma versão modificada do aplicativo de carregador de dados do Salesforce e scripts Python personalizados para violar os portais do Salesforce das vÃtimas e exfiltrar dados valiosos. Pelo menos alguns dos incidentes envolveram atividades de extorsão após intrusões da UNC6040, com eles ocorrendo meses após o roubo inicial de dados.
"Os atores de ameaças da UNC6040 utilizaram painéis de phishing, instruindo as vÃtimas a visitar de seus telefones celulares ou computadores de trabalho durante as chamadas de engenharia social", disse o FBI. "Após obter acesso, os atores de ameaças da UNC6040 usaram consultas de API para exfiltrar grandes volumes de dados a granel".
A fase de extorsão foi atribuÃda pelo Google a outro cluster sem categoria rastreado como UNC6240, que consistentemente alegou ser o grupo Shinyhunters em e -mails e chamadas para funcionários de organizações de vÃtimas.
"Além disso, acreditamos que os atores de ameaças que usam a marca 'Shinyhunters' podem estar se preparando para escalar suas táticas de extorsão lançando um site de vazamento de dados (DLS)", observou o Google no mês passado. "Essas novas táticas provavelmente pretendem aumentar a pressão sobre as vÃtimas, incluindo as associadas à s recentes violações de dados relacionadas ao Salesforce da UNC6040".
Desde então, houve uma enxurrada de desenvolvimentos, sendo a mais notável a parceria de caçadores brilhantes, aranha dispersa e lapsus $ para consolidar e unificar seus esforços criminais. Então, em 12 de setembro de 2025, o grupo reivindicou em seu canal de telegrama "Lapsus $ caçadores 4,0" que eles estão fechando.
"Lapsus $, Trihash, Yurosh, Yaxsh, Wytrozz, N3Z0X, Nitroz, Toxiqueroot, Prosox, Pertinax, Kurosh, Clown, Intelbroker, Spider Spider, Yukari e, entre muitos, decidimos escurecer", disse o grupo. "Nossos objetivos foram cumpridos, agora é hora de dizer adeus."
Atualmente, não está claro o que levou o grupo a pendurar suas botas, mas é possÃvel que a mudança seja uma tentativa de ficar baixa e evitar mais atenção da aplicação da lei.
"O recém -formado Grupo Lapsus $ Hunters 4.0 disse que está pendurado nas botas e 'Go Dark' depois que alegou que a aplicação da lei francesa prendeu outra pessoa errada em conexão com o Cybercrime Group", disse Sam Rubin, vice -presidente sênior da unidade 42 Consulting and Threat Intelligence, ao The Hacker News. "Essas declarações raramente sinalizam uma verdadeira aposentadoria".
"As prisões recentes podem ter levada o grupo a ficar baixo, mas a história nos diz que isso geralmente é temporário. Grupos como essa lasca, rebrand e ressurgir-muito parecidos com falhas brilhantes. Mesmo que as operações públicas pausem, os riscos permanecem: os dados roubados podem ressuscitar os novos nomes. que a ameaça não desapareceu, apenas adaptada ".
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #o #fbi #avisa #das #unc6040 #e #unc6395 #direcionando #plataformas #de #vendas #em #ataques #de #roubo #de #dados
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário