O FBI emitiu um alerta de segurança urgente sobre a atividade de dois grupos de cibercriminosos, identificados como UNC6040 e UNC6395, que têm como alvo as plataformas Salesforce de várias organizações. Os ataques resultaram no roubo de dados e em tentativas de extorsão contra empresas de renome mundial, incluindo Google, Adidas, Cisco, Cloudflare e Palo Alto Networks.
O modus operandi dos ataques
O grupo UNC6040 tem vindo a realizar ataques de engenharia social e vishing (phishing por voz) desde o final de 2024. Os criminosos fazem-se passar por equipas de suporte técnico para convencer os funcionários a ligarem aplicações OAuth maliciosas do Salesforce Data Loader às contas das suas empresas. Uma vez concedido o acesso, os hackers conseguem extrair em massa dados corporativos, que são depois utilizados em tentativas de extorsão pelo grupo ShinyHunters. A lista de vítimas inclui nomes de peso como Google, Adidas, Qantas, Allianz Life, Cisco, Kering, Louis Vuitton, Dior e Tiffany & Co.
Já o grupo UNC6395 atuou de forma diferente, aproveitando o roubo de tokens OAuth e de atualização da plataforma Salesloft Drift para violar as instâncias Salesforce dos clientes. Esta atividade, que terá ocorrido entre 8 e 18 de agosto, permitiu aos atacantes aceder a informações de casos de suporte. O objetivo era extrair segredos, credenciais e tokens de autenticação — como chaves da AWS, palavras-passe e tokens Snowflake — para depois invadir outros ambientes na nuvem. Este
ciberataque teve origem numa falha de segurança nos repositórios GitHub da Salesloft em março. Entre as empresas afetadas estão a Cloudflare, Zscaler, Tenable, CyberArk, Elastic, Palo Alto Networks e muitas outras.
Quem está por detrás dos ciberataques?
Embora o FBI não tenha nomeado diretamente os responsáveis, o grupo de extorsão ShinyHunters afirmou estar envolvido em ambos os incidentes, em conjunto com outros hackers que se autodenominam "Scattered Lapsus$ Hunters". Este nome sugere uma fusão ou colaboração entre membros dos conhecidos grupos Lapsus$, Scattered Spider e ShinyHunters.
Ameaças finais e o silêncio dos criminosos
Recentemente, os cibercriminosos anunciaram que iriam cessar as suas operações e discussões públicas na plataforma Telegram. No entanto, numa publicação de despedida, o grupo fez alegações ousadas, afirmando ter obtido acesso ao sistema de verificação de antecedentes E-Check do FBI e ao sistema de Pedidos de Aplicação da Lei da Google, publicando capturas de ecrã como suposta prova. Se estas alegações forem verdadeiras, os hackers poderiam ter a capacidade de se fazerem passar por autoridades para aceder a registos sensíveis de indivíduos.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech
