Googleは、ShinyHuntersという恐喝グループによる進行中のSalesforce CRMデータ窃盗攻撃の最新の被害企業となりました。
6月に、Googleは警告を発し、「UNC6040」と分類する脅威アクターが、音声フィッシング(ビッシング)によるソーシャルエンジニアリング攻撃で企業の従業員を標的にし、Salesforceインスタンスに侵入して顧客データをダウンロードしていると述べました。このデータは、漏洩を防ぐために身代金を要求する恐喝に利用されます。
昨夜の記事の簡単な更新で、Googleは6月に自社のSalesforce CRMインスタンスの1つが侵害され、顧客データが盗まれたことで、同様の攻撃の被害に遭ったことを明らかにしました。
「6月、Googleの企業向けSalesforceインスタンスの1つが、本記事で説明されているUNC6040による類似の活動の影響を受けました。Googleはこの活動に対応し、影響分析を実施し、対策を開始しました」とGoogleの更新情報には記載されています。
「このインスタンスは、中小企業の連絡先情報や関連メモの保存に使用されていました。分析の結果、脅威アクターによるデータ取得は、アクセスが遮断されるまでの短い時間枠内で行われたことが判明しました。」
「脅威アクターが取得したデータは、企業名や連絡先など、基本的かつ主に公開されているビジネス情報に限定されていました。」
Googleは、これらの攻撃の背後にいる脅威アクターを「UNC6040」または「UNC6240」と分類しています。しかし、この攻撃を追跡しているBleepingComputerは、悪名高い脅威アクターShinyHuntersが背後にいることを突き止めました。
ShinyHuntersは数年前から活動しており、PowerSchool、Oracle Cloud、Snowflakeデータ窃盗攻撃、AT&T、NitroPDF、Wattpad、MathWay、その他多数の情報漏洩事件の責任者です。
昨日BleepingComputerとの会話で、ShinyHuntersは多くのSalesforceインスタンスに侵入しており、攻撃は現在も継続中だと主張しました。
この脅威アクターは昨日BleepingComputerに対し、1兆ドル規模の企業に侵入したと主張し、その企業から恐喝するのではなく、データを単に漏洩させることも検討していると述べました。この企業がGoogleかどうかは不明です。
これらの攻撃で被害を受けた他の企業については、脅威アクターがメールを通じて恐喝し、データの公開漏洩を防ぐために身代金の支払いを要求しています。
脅威アクターが企業への個別の恐喝を終えた後、ハッキングフォーラムでデータを公開または販売する予定です。
BleepingComputerは、すでに4ビットコイン(約40万ドル)を支払い、データ漏洩を防いだ企業があることを把握しています。
これらの攻撃で影響を受けたその他の企業には、Adidas、Qantas、Allianz Life、Cisco、およびLVMH傘下のLouis Vuitton、Dior、Tiffany & Co.が含まれます。
