ShinyHunters проникнаха в Salesforce базата данни и откраднаха информация за малки фирми

Google потвърди, че хакерска група, известна като ShinyHunters, е проникнала в една от корпоративните бази данни на компанията чрез Salesforce платформата през юни 2025 година. Атаката беше разкрита на 5 август, като откраднатите данни включват основна и до голяма степен публично достъпна бизнес информация, като имена на фирми и данни за контакт.

Хакерите използваха т.нар. "вишинг" техника - измама чрез гласови обаждания, при която се представиха за служители от IT поддръжката на Google. По време на обаждането те подмамиха служител на Google да одобри злонамерено приложение, маскирано като легитимен инструмент - Salesforce Data Loader.

Как работи схемата

Атакуващите се обаждат на служители, представяйки се за IT персонал и молят целта да приеме връзка към Salesforce Data Loader - клиентско приложение, което позволява импорт, експорт, актуализиране или изтриване на данни в Salesforce среди. Заплахата се нарича UNC6040 от Google Threat Intelligence Group и е свързана с известната група за изнудване ShinyHunters.

Според Google, достъпът до базата данни е бил прекъснат за "малко време", като компанията веднага е отговорила с анализ на въздействието и е започнала мерки за защита. Засегнатата база данни се е използвала за съхранение на контактна информация и свързани бележки за малки и средни предприятия.

Международна кампания на ShinyHunters

ShinyHunters са зад множество нарушения на сигурността през 2025 година, включително атаки срещу Adidas, Louis Vuitton, Chanel, Cisco, Qantas и други големи корпорации. Всички тези атаки са насочени към Salesforce платформи и използват основни методи на социално инженерство - обикновени телефонни обаждания.

В разговор с BleepingComputer, ShinyHunters заявиха, че са проникнали в "компания за трилиони долари" и обмислят просто да разкрият данните, вместо да искат откуп. Според информация от специализирани медии, хакерите вече са изпратили искане за откуп от 20 биткойна или 2,3 милиона долара към Google.

Иронията на случая

Иронично е, че Google стана жертва на тази атака през юни, след като собствената им група за разузнаване на заплахи публикува детайлен доклад за тактиките на UNC6040 на 4 юни.

"Google публикува наръчника, но въпреки това загуби данни, което показва, че многослойните контроли се срутват, след като някой отвътре се съгласи да ги заобиколи", коментира Джейсън Сороко от компанията за киберсигурност Sectigo.

Google предупреждава, че заплахите, използващи марката "ShinyHunters", може би се подготвят да ескалират тактиките си за изнудване чрез стартиране на сайт за изтичане на данни. Според компанията, UNC6040 отговаря за първоначалното проникване, докато друг кластер от дейности, проследяван като UNC6240, отговаря за опитите за изнудване, които понякога се започват месеци след първоначалната кражба на данни.

Експерти по киберсигурност призовават компаниите да засилят обучението на служителите по теми като фишинг атаки и да внедрят многофакторна верификация за ограничаване на рисковете.