A Gainsight revelou que a recente atividade suspeita direcionada às suas aplicações afetou um número maior de clientes do que se estimava inicialmente.
A empresa informou que a Salesforce, que havia fornecido inicialmente uma lista com três clientes impactados, expandiu esse número para uma relação mais ampla em 21 de novembro de 2025.
Embora o total exato de clientes afetados não tenha sido divulgado, o CEO Chuck Ganapathi afirmou que “atualmente sabemos de apenas um punhado de clientes cujos dados foram comprometidos”.
A atualização ocorreu após a Salesforce alertar sobre uma “atividade incomum” envolvendo aplicações publicadas pela Gainsight, integradas à sua plataforma.
Como medida de precaução, a Salesforce revogou todos os tokens de acesso e refresh relacionados a essas integrações.
O ataque foi reivindicado pelo grupo cibercriminoso conhecido como ShinyHunters (também chamado Bling Libra).
Além disso, outras medidas foram adotadas para conter o incidente.
Zendesk, Gong.io e HubSpot suspenderam temporariamente suas integrações com a Gainsight, enquanto o Google desativou clientes OAuth cujo callback URI continha gainsightcloud[.]com.
Em comunicado próprio, o HubSpot afirmou não ter encontrado evidências de comprometimento em sua infraestrutura ou nos dados de seus clientes.
Em um FAQ, a Gainsight listou os produtos cuja capacidade de leitura e escrita no Salesforce ficou temporariamente indisponível:
- Customer Success (CS)
- Community (CC)
- Northpass - Customer Education (CE)
- Skilljar (SJ)
- Staircase (ST)
A empresa ressaltou, porém, que o produto Staircase não foi afetado pelo incidente, e que a Salesforce removeu sua conexão apenas por precaução enquanto as investigações estavam em curso.
Salesforce e Gainsight também divulgaram indicadores de comprometimento (IoCs) relacionados à violação.
Um dos user agents usados para acessos não autorizados foi identificado como "Salesforce-Multi-Org-Fetcher/1.0", já associado a atividades ilegítimas do Salesloft Drift.
Segundo a Salesforce, os primeiros sinais de reconhecimento contra clientes com tokens comprometidos foram registrados em 23 de outubro de 2025, originados do IP "3.239.45[.]43".
Desde 8 de novembro, ocorreram ondas subsequentes de reconhecimento e acessos não autorizados.
Para aumentar a segurança dos ambientes, a Gainsight recomenda as seguintes ações:
- Rotacionar as chaves de acesso ao bucket S3 e a outros conectores, como BigQuery, Zuora e Snowflake, usados na integração com a Gainsight
- Acessar o Gainsight NXT diretamente, evitando a conexão via Salesforce até que a integração seja totalmente restabelecida
- Resetar as senhas dos usuários do NXT que não utilizam autenticação via SSO
- Reautorizar quaisquer aplicações ou integrações conectadas que dependam de credenciais ou tokens
“Essas ações são preventivas e têm o objetivo de garantir a segurança do seu ambiente enquanto as investigações continuam”, afirmou a Gainsight.
Esse episódio ocorre no contexto do surgimento de uma nova plataforma de ransomware-as-a-service (RaaS) chamada ShinySp1d3r (ou Sh1nySp1d3r), desenvolvida por grupos cibercriminosos como Scattered Spider, LAPSUS$ e ShinyHunters (SLSH).
Dados da ZeroFox indicam que essa aliança foi responsável por pelo menos 51 ataques cibernéticos no último ano.
Segundo a empresa, o ShinySp1d3r traz inovações inéditas no universo RaaS, como o hooking da função EtwEventWrite para impedir logs no Windows Event Viewer, o encerramento automático de processos que mantêm arquivos abertos (impedindo a criptografia) e a sobrescrição do espaço livre em disco com dados aleatórios para eliminar vestígios de arquivos deletados.
Além disso, o malware é capaz de identificar e criptografar compartilhamentos de rede abertos, além de se propagar dentro da rede local utilizando técnicas como deployViaSCM, deployViaWMI e tentativas de deploy via GPO.
Em relatório divulgado na quarta-feira, o jornalista independente Brian Krebs revelou que “Rey” (também conhecido como @ReyXBF), membro central do SLSH e um dos três administradores do canal do grupo no Telegram, é o responsável pelo lançamento do ransomware.
Rey teve passagens por sites como BreachForums e pelo portal de vazamento de dados do ransomware HellCat.
Sua identidade foi confirmada como Saif Al-Din Khader.
Ele afirmou a Krebs que o ShinySp1d3r é uma reformulação do HellCat, aprimorada com ferramentas de inteligência artificial, e que colabora com autoridades desde junho de 2025.
Para o pesquisador Matt Brady, da Palo Alto Networks Unit 42, a combinação de RaaS com extortion-as-a-service (EaaS) torna o SLSH um adversário poderoso, capaz de atacar alvos variados com múltiplos métodos para monetizar as invasões.
A presença de recrutamento interno ainda adiciona uma camada extra de risco para as organizações.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...