El grupo de extorsión Shinyhunters afirma haber robado más de 1,500 millones de registros de Salesforce de 760 compañías que utilizan tokens de deriva de sales comprometidos.
Durante el año pasado, los actores de amenaza han sido Dirigir a los clientes de Salesforce en ataques de robo de datos Uso de la ingeniería social y aplicaciones de OAuth maliciosas para violar las instancias de Salesforce y descargar datos. Los datos robados se utilizan para extorsionar a las empresas para pagar un rescate para evitar que los datos se filtren públicamente.
Estos ataques han sido reclamados por actores de amenaza que declaran que son parte de los grupos de araña dispersas de brillo, la araña dispersa y los grupos de extorsión de Lapsus $, que ahora se hacen llamar «los cazadores de Lapsus $ dispersos». Google rastrea esta actividad como UNC6040 y UNC6395.
En marzo, uno de los actores de amenaza Representante de GitHub de Salesloft violadoque contenía el código fuente privado para la empresa.
Shinyhunters le dijo a BleepingComuter que los actores de la amenaza usaron el Cañón de trufa Herramienta de seguridad para escanear el código fuente en busca de secretos, lo que resultó en el hallazgo de tokens OAuth para la deriva de sales y las plataformas de correo electrónico de deriva.
Salesloft Drift es una plataforma de terceros que conecta al agente de chat de IA Drift con una instancia de Salesforce, lo que permite a las organizaciones sincronizar conversaciones, clientes potenciales y apoyar casos en su CRM. El correo electrónico de Drift se utiliza para administrar las respuestas por correo electrónico y organizar bases de datos de automatización de CRM y marketing.
Utilizando estas tokens de deriva robada, Shinyhunters le dijo a BleepingComuter que los actores de amenaza robaron aproximadamente 1.500 millones de registros de datos para 760 empresas de la «Cuenta«,»Contacto«,»Caso«,»Oportunidad«, y «Usuario«Tablas de objetos de Salesforce.
De estos registros, aproximadamente 250 millones eran de la cuenta, 579 millones de contacto, 171 millones de Opportunity, 60 millones del usuario y alrededor de 459 millones de registros de las tablas de Case Salesforce.
La tabla de casos se utilizó para almacenar información y texto de boletos de soporte enviados por clientes de estas compañías, que, para las empresas tecnológicas, podrían incluir datos confidenciales.
Como prueba de que estaban detrás del ataque, el actor de amenaza compartió un archivo de texto que enumera las carpetas del código fuente en el repositorio de GitHub de SalesLoft violado.
BleepingComputer contactó a SalesLoft con preguntas sobre estos recuentos de registros y el número total de empresas afectadas, pero no recibió una respuesta a nuestro correo electrónico. Sin embargo, una fuente confirmó que los números son precisos.
Google Threat Intelligence (Mandiant) informó que los datos del caso robado se analizaron para obtener secretos ocultos, como credenciales, tokens de autenticación y claves de acceso, para permitir a los atacantes girar en otros entornos para otros ataques.
«Después de exfiltrarse los datos, el actor buscó a través de los datos para buscar secretos que podrían usarse potencialmente para comprometer los entornos de las víctimas». explicó Google.
«GTIG observó UNC6395 dirigido a credenciales confidenciales como las claves de acceso de Amazon Web Services (AWS) (AKIA), contraseñas y tokens de acceso relacionados con el copo de nieve».
Los tokens de correo electrónico de deriva y deriva robados se utilizaron en campañas de robo de datos a gran escala que afectan a las principales empresas, incluidas Google, Marco de la nube, ZSCALER, Sostenible, Cibangark, Elástico, Beyondtrust, Punto de prueba, Jfrog, Nutanix, Estantería, Rubrik, Redes de Cato, Palo Alto Networksy muchos más.
Debido al gran volumen de estos ataques, el FBI lanzó recientemente un aviso Advertencia sobre los actores de amenaza de UNC6040 y UNC6395, compartiendo los COI descubiertos durante los ataques.
El jueves pasado, los actores de amenaza que afirmaban formar parte de la araña dispersa declararon que planeaban «oscurecer» y dejar de discutir las operaciones en Telegram.
En una publicación de separación, los actores de amenaza afirmaron haber violado el Sistema de solicitud de aplicación de la ley de Google (LERS), que es utilizado por la aplicación de la ley para emitir solicitudes de datos, y la plataforma del FBI Echeck, utilizada para realizar verificaciones de antecedentes.
Después de contactar a Google sobre estos reclamos, la compañía confirmó que Se agregó una cuenta fraudulenta a su plataforma LERS.
«Hemos identificado que se creó una cuenta fraudulenta en nuestro sistema para solicitudes de aplicación de la ley y hemos deshabilitado la cuenta», dijo Google a BleepingComuter.
«No se hicieron solicitudes con esta cuenta fraudulenta, y no se accedió a no datos».
Mientras que los actores de amenaza indicaron que se retiran, investigadores de Manifiesto Informe que los actores de amenaza comenzaron a atacar a las instituciones financieras en julio de 2025 y es probable que continúen realizando ataques.
Para proteger contra estos ataques de robo de datos, Salesforce recomienda Que los clientes sigan las mejores prácticas de seguridad, incluida la habilitación de la autenticación de múltiples factores (MFA), aplicando el principio de menor privilegio y administrar cuidadosamente las aplicaciones conectadas.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
