El FBI el viernes lanzó una advertencia de alerta Que dos grupos de hackers han estado apuntando a instancias de Salesforce para extorsión y robo de datos.
Los grupos, identificados como UNC6040 y UNC6395, se han identificado en ataques recientes utilizando diferentes métodos para obtener acceso inicial, según el FBI. La alerta incluye indicadores de compromiso y orientación adicional que puede ayudar a los equipos de seguridad a determinar si han sido atacados y prevenir futuros ataques.
UNC6040 ha utilizado el phishing de voz para obtener acceso a las cuentas de Salesforce de las organizaciones específicas. Desde octubre de 2024, el grupo ha utilizado tácticas de ingeniería social para que los agentes de apoyo al cliente entreguen las credenciales de los empleados, según la alerta.
Salesforce anteriormente advirtió sobre estos ataques de ingeniería social en marzo, e investigadores de Grupo de inteligencia de amenazas de Google advirtió sobre UNC6040 en junio.
El FBI dijo que algunas víctimas han recibido demandas de extorsión de piratas informáticos que se llaman a sí mismos Shinyhunters. Las demandas han llegado entre varios días y varios meses después de las violaciones.
Los ataques de UNC6395 Confiado en los tokens OAuth comprometidos para SalesLoft Drift, un chatbot con sede en IA que estaba integrado con Salesforce. Los piratas informáticos en estos ataques robaron datos después de comprometer las instancias de Salesforce de las víctimas.
A fines de agosto, las compañías habían revocado todo el acceso activo y renovaron sus tokens, evitando que los piratas informáticos accedieran aún más a las plataformas de Salesforce a través de Salesloft Drift, según el FBI.
Los ataques de la cadena de suministro afectaron potencialmente a cientos de organizaciones, y múltiples Las compañías de seguridad revelaron posibles infracciones de sus clientes.
Investigadores de seguridad dijeron a CyberseCurity Dive que un grupo de amenazas que reclamaba vínculos con los brujos Shinyhunters, Spiders Spider y Lapsus $, que se responsabilizaron de piratear Jaguar Land Rover Y otros objetivos de alto perfil: ha derribado sus sitios web oscuros en los últimos días.
La compañía no ha discutido públicamente cómo los piratas informáticos obtuvieron acceso a sus sistemas, pero previamente confirmó que estaba investigando las afirmaciones de amenazas.
Los investigadores sospechan que el movimiento está relacionado con una mayor actividad de aplicación de la ley, pero no está claro si las autoridades han arrestado a alguno de los piratas informáticos. Los expertos también dijeron que es probable que los atacantes se renombren con un nombre diferente en lugar de cesar por completo sus actividades.
No está claro si el ataque a JLR está relacionado con la actividad descrita en la alerta del FBI. La Oficina no respondió a una solicitud de comentarios.
Fuente