Il gruppo per la criminalità informatica ShinyHunters ha pubblicato quello che sostiene essere un enorme dataset collegato a Salesforce, rubato al colosso immobiliare commerciale Cushman & Wakefield dopo il fallimento delle presunte trattative per il riscatto.
Secondo post pubblicati sul sito di fughe di notizie del gruppo sul dark web, gli aggressori affermano di aver compromesso oltre 500.000 record Salesforce contenenti informazioni personali identificabili e dati interni aziendali legati all’azienda. ShinyHunters afferma che l’archivio trapelato è di circa 50GB.
Il gruppo ha elencato per la prima volta Cushman & Wakefield come vittima all’inizio di questo mese e ha dato una scadenza che impone all’azienda di negoziare prima che i dati vengano resi pubblici. Dopo il termine di scadenza, ShinyHunters ha aggiornato la pagina delle fughe di notizie con i link per il download del presunto dataset.
Cushman & Wakefield ha precedentemente confermato di aver subito quello che ha descritto come un incidente di sicurezza “limitato” causato da un attacco vishing, anche se l’azienda non ha verificato le affermazioni degli hacker riguardo al furto di dati di Salesforce né l’entità della presunta violazione. L’azienda ha dichiarato di aver attivato le procedure di risposta agli incidenti e di aver coinvolto specialisti esterni in cybersecurity per indagare.
I ricercatori stanno ancora analizzando i file trapepati per determinare esattamente quali informazioni potrebbero essere state esposte. I primi rapporti suggeriscono che l’archivio potrebbe contenere registri clienti, informazioni interne aziendali e potenzialmente comunicazioni aziendali sensibili legate ai sistemi Salesforce.
L’incidente sembra collegato alla campagna più ampia di ShinyHunters che prende di mira le piattaforme cloud e SaaS tramite attacchi di ingegneria sociale. Ricercatori di sicurezza e analisti delle minacce di Google avevano già avvertito che il gruppo si affida sempre più a operazioni di phishing vocale per ingannare i dipendenti e fargli consegnare credenziali e codici di autenticazione multifattore.
In diversi episodi recenti, gli aggressori avrebbero impersonato il personale IT e indirizzato i dipendenti verso portali di accesso falsi progettati per acquisire credenziali aziendali. Una volta all’interno, gli attori minacciosi si sono concentrati fortemente sulle piattaforme cloud, tra cui Salesforce, Okta, Microsoft 365 e Google Workspace.
La fuga di notizie di Cushman & Wakefield fa parte di una serie crescente di incidenti di estorsione collegati a ShinyHunters che coinvolgono ambienti Salesforce. Diverse aziende sono recentemente apparse sul sito delle fughe di notizie del gruppo dopo che gli aggressori hanno affermato di aver rubato grandi volumi di dati di clienti e interni aziendali da sistemi connessi al cloud.
A complicare ulteriormente la situazione, un altro gruppo ransomware noto come Qilin ha anch’egli inserito Cushman & Wakefield sul proprio sito di leak pochi giorni dopo la rivendicazione di ShinyHunters. Tuttavia, Qilin non ha pubblicato prove a supporto né dettagli aggiuntivi, e i ricercatori affermano che attualmente non esiste alcun collegamento confermato tra i due gruppi.
Gli esperti di cybersecurity avvertono che i dataset Salesforce trapelati possono creare rischi significativi perché spesso contengono registri dettagliati dei clienti, informazioni di contatto, pipeline di vendita, contratti e comunicazioni interne. Anche se le informazioni finanziarie sono assenti, gli attaccanti possono comunque utilizzare dati aziendali esposti per campagne di phishing, frodi, attacchi di usurpazione e operazioni di ingegneria sociale successiva.
L’incidente mette anche in evidenza crescenti preoccupazioni riguardo alla sicurezza SaaS e ai sistemi di identità basati su cloud. Invece di violare l’infrastruttura tradizionale on-premise, i gruppi moderni di cybercriminali prendono sempre più di mira le credenziali dei dipendenti e le piattaforme cloud che centralizzano l’accesso ai dati aziendali sensibili.
Al momento, l’intera portata della presunta fuga di notizie di Cushman & Wakefield rimane incerta e la verifica indipendente del dataset pubblicato è ancora in corso.