Het afgelopen jaar zijn 760 bedrijven, waaronder KLM, getroffen door ransom-aanvallen op hun Salesforce-systemen. De hackers van ShinyHunters leidden medewerkers om de tuin en hebben zelfs politiesystemen geïnfiltreerd. Financiële instellingen lijken nu in het vizier te komen.
Meer dan 1,5 miljard Salesforce-records, van 760 bedrijven, zouden in de Salesforce-hack zijn gestolen. Het afgelopen jaar richtten de cybercriminelen zich op klanten van Salesforce en leidden die om de tuin via social engineering. Met kwaadaardige OAuth-applicaties – open authorization, een autorisatieframework om toepassingen te machtigen toegang te krijgen tot een resource – werden ze vervolgens gehackt. Met de gestolen data werden de organisaties vervolgens afgeperst.
‘Deze aanvallen zijn opgeëist door hackers die stellen dat ze deel uitmaken van de afpersingsgroepen ShinyHunters, Scattered Spider en Lapsus$, en die zichzelf nu Scattered Lapsus$ Hunters noemen. Google registreert deze activiteit als UNC6040 en UNC6395,’ aldus BleepingComputer. De tech-publicatie zegt verder van de criminelen gehoord te hebben dat ze de TruffleHog-beveiligingstool gebruikten om de broncode te scannen op geheimen, wat resulteerde in de vondst van OAuth-tokens voor de platforms Salesloft Drift en Drift Email.
Salesforce-objecttabellen
De 1,5 miljard velden die gestolen werden, zouden afkomstig zijn uit de Salesforce-objecttabellen ‘Account’ (250 miljoen velden), ‘Contact’ (579 miljoen), ‘Case’ (459 miljoen), ‘Opportunity’ (171 miljoen) en ‘Gebruiker’ (60 miljoen). ‘De Case-tabel werd gebruikt om informatie en tekst op te slaan van supporttickets die door klanten van deze bedrijven waren ingediend. Deze informatie kan voor techbedrijven gevoelige gegevens bevatten.’ Al vroeg dit jaar was duidelijk dat Salesforce problemen kon hebben.
De gestolen Drift- en Drift Email-tokens werden gebruikt in grootschalige campagnes tegen grote bedrijven, waaronder Allianz, Google, Cloudflare, KLM, Proofpoint, Palo Alto Networks, Workday en veel anderen.
Mogelijk ook politie-data gecompromitteerd
De criminelen zouden ook Google’s Law Enforcement Request-systeem gecompromitteerd hebben. Dat systeem wordt door wetshandhavers gebruikt om gegevensverzoeken in te dienen. ‘We hebben vastgesteld dat er een frauduleus account is aangemaakt in ons systeem voor verzoeken van wetshandhavingsinstanties en hebben het account gedeactiveerd,’ vertelde Google aan de nieuwssite. Ook het FBI eCheck-platform voor antecedentenonderzoeken zou geïnfiltreerd zijn
Onderzoekers van ReliaQuest hebben verder gemeld dat de criminelen zich zijn gaan richten op financiële instellingen en ‘waarschijnlijk zullen doorgaan met aanvallen,’ waarvoor al eerder voor gewaarschuwd is.
