Le groupe de cybercriminalité ShinyHunters a publié ce qu’il affirme être un immense jeu de données lié à Salesforce, volé au géant de l’immobilier commercial Cushman & Wakefield après l’échec de négociations présumées de rançon.
Selon des publications publiées sur le site de fuites du dark web du groupe, les attaquants affirment avoir compromis plus de 500 000 dossiers Salesforce contenant des informations personnelles identifiables et des données internes de l’entreprise liées à l’entreprise. ShinyHunters indique que l’archive fuitée fait environ 50 Go.
Le groupe a d’abord listé Cushman & Wakefield comme victime plus tôt ce mois-ci et a fixé une date limite exigeant que l’entreprise négocie avant la publication des données. Après le délai, ShinyHunters a mis à jour sa page de fuite avec des liens de téléchargement pour le jeu de données présumé.
Cushman & Wakefield a précédemment confirmé avoir subi ce qu’elle a décrit comme un incident de sécurité « limité » causé par une attaque vishing, bien que l’entreprise n’ait pas vérifié les affirmations des hackers concernant le vol de données de Salesforce ni l’ampleur de la prétendue violation. L’entreprise a indiqué avoir activé des procédures de réponse aux incidents et fait appel à des spécialistes externes de la cybersécurité pour enquêter.
Les chercheurs analysent toujours les fichiers divulgués pour déterminer précisément quelles informations auraient pu être révélées. Les premiers rapports suggèrent que l’archive pourrait contenir des dossiers clients, des informations internes de l’entreprise et des communications d’entreprise potentiellement sensibles liées aux systèmes Salesforce.
L’incident semble lié à la campagne plus large de ShinyHunters visant les plateformes cloud et SaaS via des attaques d’ingénierie sociale. Des chercheurs en sécurité et des analystes des menaces de Google avaient déjà averti que le groupe s’appuie de plus en plus sur des opérations de phishing vocal pour tromper les employés et les forcer à remettre des identifiants et des codes d’authentification multifacteurs.
Dans plusieurs incidents récents, des attaquants auraient usurpé l’identité du personnel informatique et dirigé les employés vers de faux portails de connexion conçus pour capturer les identifiants de l’entreprise. Une fois à l’intérieur, les acteurs malveillants se sont fortement concentrés sur les plateformes cloud, notamment Salesforce, Okta, Microsoft 365 et Google Workspace.
La fuite de Cushman & Wakefield fait partie d’une série croissante d’incidents d’extorsion liés à ShinyHunters impliquant des environnements Salesforce. Plusieurs entreprises sont récemment apparues sur le site de fuite du groupe après que des attaquants ont affirmé avoir volé de grands volumes de données clients et internes de l’entreprise provenant de systèmes connectés au cloud.
Pour compliquer encore la situation, un autre groupe de ransomware appelé Qilin a également inscrit Cushman & Wakefield sur son propre site de fuite quelques jours après la révélation de l’affirmation ShinyHunters. Cependant, Qilin n’a pas publié de preuves à l’appui ni de détails supplémentaires, et les chercheurs affirment qu’il n’existe actuellement aucun lien confirmé entre les deux groupes.
Les experts en cybersécurité avertissent que les jeux de données Salesforce divulgués peuvent créer des risques importants car ils contiennent souvent des dossiers clients détaillés, des informations de contact, des pipelines de vente, des contrats et des communications internes. Même en cas d’absence d’informations financières, les attaquants peuvent toujours utiliser des données commerciales exposées pour des campagnes de phishing, des fraudes, des attaques d’usurpation d’identité et des opérations d’ingénierie sociale qui suivent.
L’incident met également en lumière des préoccupations croissantes concernant la sécurité SaaS et les systèmes d’identité basés sur le cloud. Plutôt que de pirater l’infrastructure traditionnelle sur site, les groupes modernes de cybercriminalité ciblent de plus en plus les identifiants des employés et les plateformes cloud qui centralisent l’accès aux données sensibles de l’entreprise.
À ce stade, l’ampleur complète de la prétendue fuite de Cushman & Wakefield reste incertaine, et une vérification indépendante du jeu de données publiée est toujours en cours.