O grupo de extorsão ShinyHunters afirma ter roubado mais de 1,5 bilhão de registros do Salesforce, envolvendo 760 empresas, por meio de tokens OAuth comprometidos da plataforma Salesloft Drift.
Ao longo do último ano, esses cibercriminosos vêm mirando clientes do Salesforce em ataques de roubo de dados.
Utilizando técnicas de engenharia social e aplicativos OAuth maliciosos, eles invadem instâncias do Salesforce para extrair informações sensíveis.
Depois, usam esses dados como moeda de troca, exigindo pagamento de resgate para evitar a divulgação pública.
Os ataques têm sido reivindicados por grupos que se identificam como ShinyHunters, Scattered Spider e Lapsus$, que agora se autodenominam "Scattered Lapsus$ Hunters".
O Google acompanha essas atividades com as designações UNC6040 e UNC6395.
Em março, um dos integrantes desses grupos invadiu o repositório GitHub da Salesloft, que continha o código-fonte privado da empresa.
Segundo relatos ao site BleepingComputer, os invasores utilizaram a ferramenta de segurança TruffleHog para escanear o código em busca de segredos, o que resultou na descoberta dos tokens OAuth relacionados às plataformas Salesloft Drift e Drift Email.
A Salesloft Drift é uma plataforma terceirizada que conecta o chatbot Drift AI a uma instância do Salesforce, permitindo que organizações sincronizem conversas, leads e chamados de suporte diretamente no CRM.
Já o Drift Email é utilizado para gerenciar respostas por e-mail e organizar bancos de dados do CRM e de automação de marketing.
Com os tokens OAuth da Drift comprometidos, o grupo ShinyHunters afirmou ao BleepingComputer que os invasores roubaram aproximadamente 1,5 bilhão de registros relativos a 760 empresas, extraídos das tabelas "Account", "Contact", "Case", "Opportunity" e "User" do Salesforce.
Esses dados incluem cerca de 250 milhões de registros da tabela Account, 579 milhões da Contact, 171 milhões de Opportunity, 60 milhões de User, e aproximadamente 459 milhões da tabela Case.
A tabela Case armazena informações e textos de tickets de suporte submetidos pelos clientes dessas empresas, o que em setores de tecnologia pode envolver dados altamente sensíveis.
Como prova de autoria, os invasores compartilharam um arquivo de texto listando as pastas do código-fonte contidas no repositório Salesloft comprometido.
A reportagem do BleepingComputer enviou perguntas à Salesloft sobre o volume de registros e o número total de empresas afetadas, mas não obteve resposta.
No entanto, uma fonte confirmou a veracidade dos números.
A equipe de Threat Intelligence do Google (Mandiant) analisou os dados roubados da tabela Case, descobrindo que os invasores buscaram por segredos ocultos, como credenciais, tokens de autenticação e chaves de acesso, para facilitar movimentos laterais e novos ataques em outros ambientes.
"Após a exfiltração dos dados, os agentes maliciosos buscaram segredos que pudessem ser usados para comprometer ambientes das vítimas", explicou o Google.
"O GTIG observou que o UNC6395 mirou credenciais sensíveis, como chaves de acesso da Amazon Web Services (AWS) (AKIA), senhas e tokens relacionados ao Snowflake."
Os tokens roubados de Drift e Drift Email foram empregados em campanhas em larga escala contra grandes empresas, incluindo Google, Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks, Palo Alto Networks, entre outras.
Devido à magnitude dessas operações, o FBI publicou recentemente um alerta sobre os grupos UNC6040 e UNC6395, divulgando Indicadores de Comprometimento (IOCs) detectados durante os ataques.
Na última quinta-feira (11), atores afirmando fazer parte do Scattered Spider anunciaram que pretendem "ficar offline" e parar de divulgar informações sobre suas operações no Telegram.
Em uma postagem de despedida, eles alegaram ter invadido o sistema Law Enforcement Request System (LERS) do Google — usado para solicitações de dados por autoridades — e a plataforma FBI eCheck, utilizada para checagens de antecedentes.
Após consultas ao Google, a empresa confirmou que uma conta fraudulenta foi criada no sistema LERS, mas a conta foi desabilitada antes de qualquer solicitação ser feita ou dado acessado.
"Identificamos a criação de uma conta ilegal no nosso sistema de requisições de autoridades e a desabilitamos", declarou o Google ao BleepingComputer.
"Nenhuma solicitação foi feita com essa conta, e nenhum dado foi acessado."
Embora os grupos indiquem que estão se aposentando, pesquisadores da ReliaQuest apontam que eles começaram a direcionar ataques a instituições financeiras em julho de 2025 e devem continuar suas atividades.
Para se proteger desses ataques de roubo de dados, a Salesforce recomenda que seus clientes adotem as melhores práticas de segurança, como habilitar a autenticação multifator (MFA), aplicar o princípio do menor privilégio e gerenciar cuidadosamente os aplicativos conectados.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...