El grupo de ciberdelincuencia ShinyHunters ha publicado lo que afirma es un enorme conjunto de datos vinculado a Salesforce, robado al gigante inmobiliario comercial Cushman & Wakefield tras el fracaso de supuestas negociaciones de rescate.
Según publicaciones publicadas en la web de filtraciones del grupo en la dark web, los atacantes afirman haber comprometido más de 500.000 registros de Salesforce que contenían información personal identificable y datos corporativos internos vinculados a la empresa. ShinyHunters dice que el archivo filtrado tiene aproximadamente 50GB de tamaño.
El grupo incluyó por primera vez a Cushman & Wakefield como víctima a principios de este mes y emitió un plazo exigiendo a la empresa negociar antes de que los datos se hicieran públicos. Tras pasar el plazo, ShinyHunters actualizó su página de filtración con enlaces de descarga para el supuesto conjunto de datos.
Cushman & Wakefield confirmó previamente que experimentó lo que describió como un incidente de seguridad “limitado” causado por un ataque de vishing, aunque la empresa no verificó las afirmaciones de los hackers sobre robo de datos de Salesforce ni el tamaño de la supuesta brecha. La empresa afirmó que activó los procedimientos de respuesta a incidentes y que contrató especialistas externos en ciberseguridad para investigar.
Los investigadores siguen analizando los archivos filtrados para determinar exactamente qué información pudo haber sido expuesta. Los primeros informes sugieren que el archivo podría contener registros de clientes, información interna del negocio y comunicaciones corporativas potencialmente sensibles vinculadas a los sistemas de Salesforce.
El incidente parece estar vinculado a la campaña más amplia de ShinyHunters dirigida a plataformas en la nube y SaaS mediante ataques de ingeniería social. Investigadores de seguridad y analistas de amenazas de Google advirtieron anteriormente que el grupo recurre cada vez más a operaciones de phishing por voz para engañar a los empleados y que entreguen credenciales y códigos de autenticación multifactor.
En varios incidentes recientes, se informó que los atacantes se hicieron pasar por empleados de TI y dirigieron a los empleados a portales de acceso falsos diseñados para capturar credenciales empresariales. Una vez dentro, los actores amenazantes se centraron principalmente en plataformas basadas en la nube, incluyendo Salesforce, Okta, Microsoft 365 y Google Workspace.
La filtración de Cushman & Wakefield forma parte de una serie creciente de incidentes de extorsión vinculados a ShinyHunters que involucran entornos de Salesforce. Recientemente, varias empresas han aparecido en el sitio de filtraciones del grupo después de que los atacantes afirmaran haber robado grandes volúmenes de datos de clientes y de empresas internas de sistemas conectados a la nube.
Para complicar aún más la situación, otro grupo de ransomware conocido como Qilin también incluyó Cushman & Wakefield en su propio sitio de filtraciones días después de que surgiera la afirmación de ShinyHunters. Sin embargo, Qilin no publicó pruebas de apoyo ni detalles adicionales, y los investigadores afirman que actualmente no existe una conexión confirmada entre ambos grupos.
Los expertos en ciberseguridad advierten que los conjuntos de datos filtrados de Salesforce pueden crear riesgos significativos porque a menudo contienen registros detallados de clientes, información de contacto, canales de ventas, contratos y comunicaciones internas. Incluso si la información financiera está ausente, los atacantes pueden seguir utilizando datos empresariales expuestos para campañas de phishing, fraude, suplantación y operaciones de ingeniería social posteriores.
El incidente también pone de manifiesto las crecientes preocupaciones sobre la seguridad SaaS y los sistemas de identidad basados en la nube. En lugar de vulnerar la infraestructura tradicional local, los grupos cibernéticos modernos se centran cada vez más en las credenciales de los empleados y en plataformas en la nube que centralizan el acceso a datos empresariales sensibles.
En esta fase, el alcance total de la supuesta filtración de Cushman & Wakefield sigue sin estar claro, y la verificación independiente del conjunto de datos publicado sigue en curso.