O grupo de crimes cibernéticos ShinyHunters publicou o que afirma ser um enorme conjunto de dados vinculado à Salesforce, roubado da gigante imobiliária comercial Cushman & Wakefield após supostas negociações de resgate fracassaram.
De acordo com publicações publicadas no site de vazamento do grupo na dark web, os atacantes afirmam ter comprometido mais de 500.000 registros da Salesforce contendo informações pessoais identificáveis e dados corporativos internos ligados à empresa. A ShinyHunters diz que o arquivo vazado tem aproximadamente 50GB de tamanho.
O grupo listou pela primeira vez a Cushman & Wakefield como vítima no início deste mês e emitiu um prazo exigindo que a empresa negociasse antes que os dados fossem divulgados publicamente. Após o prazo expirar, o ShinyHunters atualizou sua página de vazamento com links para download do suposto conjunto de dados.
A Cushman & Wakefield já confirmou anteriormente que experimentou o que descreveu como um incidente de segurança “limitado” causado por um ataque de vishing, embora a empresa não tenha verificado as alegações dos hackers sobre roubo de dados da Salesforce ou o tamanho da suposta violação. A empresa afirmou que ativou procedimentos de resposta a incidentes e contratou especialistas externos em cibersegurança para investigar.
Pesquisadores ainda estão analisando os arquivos vazados para determinar exatamente quais informações podem ter sido expostas. Relatórios iniciais sugerem que o arquivo poderia conter registros de clientes, informações internas de negócios e comunicações corporativas potencialmente sensíveis ligadas aos sistemas Salesforce.
O incidente parece estar ligado à campanha mais ampla da ShinyHunters, que visa plataformas em nuvem e SaaS por meio de ataques de engenharia social. Pesquisadores de segurança e analistas de ameaças do Google já alertaram que o grupo depende cada vez mais de operações de phishing por voz para enganar funcionários e levá-los a entregar credenciais e códigos de autenticação multifator.
Em vários incidentes recentes, atacantes teriam se passado por funcionários de TI e direcionado funcionários para portais de login falsos projetados para capturar credenciais empresariais. Uma vez dentro, os agentes ameaçadores focaram fortemente em plataformas baseadas em nuvem, incluindo Salesforce, Okta, Microsoft 365 e Google Workspace.
O vazamento da Cushman & Wakefield faz parte de uma série crescente de incidentes de extorsão ligados à ShinyHunters envolvendo ambientes da Salesforce. Várias empresas apareceram recentemente no site de vazamento do grupo após atacantes alegarem ter roubado grandes volumes de dados de clientes e de negócios internos de sistemas conectados à nuvem.
Para complicar ainda mais a situação, outro grupo de ransomware conhecido como Qilin também listou a Cushman & Wakefield em seu próprio site de vazamento dias após a alegação do ShinyHunters ter surgido. No entanto, Qilin não publicou evidências de apoio ou detalhes adicionais, e pesquisadores afirmam que atualmente não há conexão confirmada entre os dois grupos.
Especialistas em cibersegurança alertam que conjuntos de dados vazados do Salesforce podem criar riscos significativos porque frequentemente contêm registros detalhados de clientes, informações de contato, pipelines de vendas, contratos e comunicações internas. Mesmo que informações financeiras estejam ausentes, os atacantes ainda podem usar dados comerciais expostos para campanhas de phishing, fraudes, ataques de identidade de identidade e operações subsequentes de engenharia social.
O incidente também destaca preocupações crescentes em relação à segurança SaaS e aos sistemas de identidade baseados em nuvem. Em vez de invadir a infraestrutura tradicional on-premise, grupos cibercriminosos modernos passam a mirar cada vez mais em credenciais de funcionários e plataformas em nuvem que centralizam o acesso a dados corporativos sensíveis.
Neste momento, a extensão total do suposto vazamento Cushman & Wakefield permanece incerta, e a verificação independente do conjunto de dados publicado ainda está em andamento.