Google ha confermato il 5 agosto l’accesso non autorizzato ad un’istanza Salesforce da parte del gruppo UNC6040. Il furto dei dati è stato effettuato dal gruppo UNC6240. L’azienda di Mountain View ha precisato nel weekend che sono interessati alcuni clienti del servizio Google Ads.
Collaborazione tra cybercriminali
Nel post originale del 4 agosto era scritto che l’intrusione nei CRM Salesforce è avvenuta attraverso l’applicazione Data Loader (successivamente sono stati usati script Python). I dipendenti delle aziende colpite sono stati ingannati tramite vishing. L’attività di ingegneria sociale è stata eseguita dal gruppo UNC6040. In base alle informazioni ottenute da Bleeping Computer si tratta di Scattered Spider.
Successivamente all’accesso iniziale, i membri di Scattered Spider hanno “passato la palla” al gruppo UNC6240, noto come ShinyHunters. Questi ultimi hanno quindi esfiltrato i dati dai CRM Salesforce e chiesto il pagamento di una somma di denaro (estorsione) per evitare la pubblicazione. La collaborazione tra i due gruppi viene indicata con Sp1d3rHunters.
Tra le vittime dei cybercriminali c’è anche Google. Nel fine settimana, l’azienda di Mountain View ha precisato che una delle istanze Salesforce conteneva le informazioni di alcuni clienti di Google Ads. Questa è la comunicazione inviata via email:
Vi scriviamo per informarvi di un evento che ha interessato un set limitato di dati in una delle istanze Salesforce aziendali di Google, utilizzata per comunicare con potenziali clienti di Ads. I nostri archivi indicano che le informazioni di contatto aziendali di base e le note correlate sono state interessate da questo evento.
Tra le informazioni rubate ci sono nomi dei clienti e numeri di telefono. Non sono state sottratte le informazioni di pagamento. Il gruppo ShinyHunters ha dichiarato di aver chiesto il pagamento di 20 Bitcoin (circa 2 milioni di euro) a Google per non pubblicare i dati.
Ti potrebbe interessare
11 ago 2025