Die Cyberkriminalitätsgruppe ShinyHunters hat angeblich einen riesigen, mit Salesforce verbundenen Datensatz veröffentlicht, der nach dem Scheitern angeblicher Lösegeldverhandlungen vom Immobilienkonzern Cushman & Wakefield gestohlen wurde.
Laut Beiträgen, die auf der Dark-Web-Leak-Seite der Gruppe veröffentlicht wurden, behaupten die Angreifer, mehr als 500.000 Salesforce-Datensätze mit personenbezogenen Daten und internen Unternehmensdaten im Zusammenhang mit dem Unternehmen kompromittiert zu haben. ShinyHunters gibt an, dass das geleakte Archiv etwa 50 GB groß ist.
Die Gruppe führte Cushman & Wakefield Anfang dieses Monats erstmals als Opfer auf und setzte eine Frist, in der das Unternehmen verlangt wird, vor der Veröffentlichung der Daten verhandelt. Nach Ablauf der Frist aktualisierte ShinyHunters seine Leak-Seite mit Download-Links für den angeblichen Datensatz.
Cushman & Wakefield hatte zuvor bestätigt, dass es einen sogenannten “begrenzten” Sicherheitsvorfall durch einen Vishing-Angriff erlebt hatte, obwohl das Unternehmen die Behauptungen der Hacker bezüglich des Salesforce-Datendiebstahls oder des Ausmaßes der angeblichen Sicherheitspanne nicht überprüfte. Das Unternehmen erklärte, es habe die Verfahren zur Reaktion auf Vorfälle aktiviert und externe Cybersicherheitsspezialisten zur Untersuchung hinzugezogen.
Forscher analysieren weiterhin die geleakten Dateien, um genau festzustellen, welche Informationen offengelegt worden sein könnten. Frühe Berichte deuten darauf hin, dass das Archiv Kundendaten, interne Geschäftsinformationen und potenziell sensible Unternehmenskommunikation im Zusammenhang mit Salesforce-Systemen enthalten könnte.
Der Vorfall scheint mit der umfassenderen Kampagne von ShinyHunters in Verbindung zu stehen, die Cloud- und SaaS-Plattformen durch Social-Engineering-Angriffe ins Visier nimmt. Sicherheitsforscher und Google-Bedrohungsanalysten warnten zuvor, dass die Gruppe zunehmend auf Voice-Phishing-Operationen setzt, um Mitarbeiter dazu zu bringen, Zugangsdaten und Multi-Faktor-Authentifizierungscodes herauszugeben.
In mehreren jüngsten Vorfällen gaben sich Angreifer Berichten zufolge als IT-Mitarbeiter aus und wiesen Mitarbeiter auf gefälschte Login-Portale an, die darauf ausgelegt waren, Unternehmensdaten zu erfassen. Sobald sie dort waren, konzentrierten sich die Bedrohungsakteure stark auf cloudbasierte Plattformen wie Salesforce, Okta, Microsoft 365 und Google Workspace.
Das Cushman & Wakefield-Leak ist Teil einer wachsenden Reihe von mit ShinyHunters verbundenen Erpressungsvorfällen im Zusammenhang mit Salesforce-Umgebungen. Mehrere Unternehmen sind kürzlich auf der Leak-Seite der Gruppe aufgetaucht, nachdem Angreifer behaupteten, große Mengen an Kunden- und internen Geschäftsdaten aus cloudverbundenen Systemen gestohlen zu haben.
Die Situation wurde zusätzlich erschwert, dass eine weitere Ransomware-Gruppe namens Qilin Cushman & Wakefield wenige Tage nach Bekanntwerden der ShinyHunters-Behauptung auf ihrer eigenen Leak-Seite auflistete. Qilin veröffentlichte jedoch keine unterstützenden Beweise oder weitere Details, und Forscher sagen, dass derzeit keine bestätigte Verbindung zwischen den beiden Gruppen besteht.
Cybersicherheitsexperten warnen, dass geleakte Salesforce-Datensätze erhebliche Risiken darstellen können, da sie oft detaillierte Kundendaten, Kontaktinformationen, Vertriebspipelines, Verträge und interne Kommunikation enthalten. Selbst wenn finanzielle Informationen fehlen, können Angreifer weiterhin offengelegte Geschäftsdaten für Phishing-Kampagnen, Betrug, Imitationsangriffe und nachfolgende Social-Engineering-Operationen nutzen.
Der Vorfall verdeutlicht zudem wachsende Bedenken hinsichtlich der SaaS-Sicherheit und cloudbasierter Identitätssysteme. Anstatt die traditionelle On-Premise-Infrastruktur zu verletzen, greifen moderne Cyberkriminelle Gruppen zunehmend auf Mitarbeiterdaten und Cloud-Plattformen ab, die den Zugriff auf sensible Unternehmensdaten zentralisieren.
Zu diesem Zeitpunkt ist das vollständige Ausmaß des angeblichen Cushman & Wakefield-Lecks noch unklar, und eine unabhängige Überprüfung des veröffentlichten Datensatzes läuft weiterhin.