O Google confirmou nesta terça-feira (5) que também foi afetado pelo vazamento de dados da Salesforce ocorrido em junho. Uma instância da plataforma usada pela companhia foi comprometida pelo grupo de ameaças UNC6040, especializado em golpes de phishing por voz e roubo de informações.
“Em junho, uma das instâncias corporativas da Salesforce do Google foi impactada por uma atividade semelhante à UNC6040 descrita nesta publicação. O Google respondeu à atividade, realizou uma análise de impacto e iniciou medidas de mitigação”, informou a empresa.
Quais dados do Google foram vazados?
De acordo com a companhia, os agentes maliciosos acessaram os dados por um curto período antes de serem bloqueados. As informações coletadas eram básicas e, em sua maioria, públicas, como nomes comerciais e dados de contato de empresas.
Quem é o grupo UNC6040?
Segundo o Google Threat Intelligence Group (GTIG), o UNC6040 utiliza táticas de engenharia social e phishing por voz (vishing) para enganar vítimas. O objetivo é convencê-las a autorizar um aplicativo conectado à instância da empresa no Salesforce, o que permite a consulta e extração de dados sensíveis.
O ataque ocorre em múltiplos estágios:
- O criminoso entra em contato com a vítima por chamada de voz (vishing);
- Ela é orientada a visitar a página de configuração do Salesforce para aprovar o acesso de um aplicativo alterado;
- O aplicativo então coleta e extrai dados confidenciais.
Além do Google, outras grandes empresas foram afetadas pelo mesmo ataque, incluindo Adidas, Allianz Life, Cisco, Dior e Louis Vuitton.
O que é o UNC6240?
Após o roubo de dados, outro grupo entra em ação: o UNC6240, responsável pela tentativa de extorsão. Segundo o Google, esse código foi atribuído à segunda fase da ofensiva: os cibercriminosos entram em contato com funcionários das empresas vítimas exigindo pagamento em bitcoin no prazo de até 72 horas.
Durante a extorsão, os criminosos afirmam fazer parte do ShinyHunters, um grupo conhecido por diversos vazamentos anteriores. Alguns exemplos incluem:
- Roubo de mais de 30 milhões de dados do Santander;
- Vazamento de dados de clientes da PagSeguro e Wirecard;
- Confirmação de ataque à Allianz Life, com comprometimento de dados de milhões de clientes.
“Além disso, acreditamos que os cibercriminosos que usam a marca ‘ShinyHunters’ podem estar se preparando para intensificar suas táticas de extorsão, lançando um site de vazamento de dados (DLS)”, destacou o Google em comunicado publicado em junho.
Quer acompanhar mais notícias sobre cibersegurança e ataques digitais? Siga o TecMundo nas redes sociais e fique por dentro das principais ameaças e tendências do mundo da tecnologia.
