Il team GTIG di Google (Threat Intelligence Group) ha appena aggiornato un post sul blog ufficiale Cloud risalente al 4 giugno e intitolato “Il costo di una chiamata: dal phishing vocale all’estorsione di dati”. Fa riferimento a un attacco vishing che ha preso di mira gli account Salesforce. Per maggiori informazioni rimandiamo all’articolo dedicato scritto all’epoca su queste pagine. L’update pubblicato oggi dal gruppo di Mountain View conferma che nella violazione è stato compromesso uno dei suoi account e che si è verificato un furto di dati relativi ai suoi clienti.

A giugno, una delle istanze Salesforce aziendali di Google è stata interessata da un’attività UNC6040 simile a quella descritta in questo post. Google ha risposto all’attività, ha eseguito un’analisi dell’impatto e ha avviato le misure di mitigazione. L’istanza è stata utilizzata per archiviare informazioni di contatto e note correlate per piccole e medie imprese.

Chiarimenti da Google sul furto dati dei clienti

Gli autori dell’azione sono stati identificati fin da subito nei membri del gruppo ShinyHunters, noto tra gli addetti ai lavori come UNC6040. Potrebbero aver contribuito anche quelli di un altro collettivo, The Com. Quali sono i dettagli contenuti nel database sottratto e finito nelle mani dei criminali? Perlopiù si tratta di dettagli già accessibili online come nomi e contatti. Ecco la risposta completa.

L’analisi ha rivelato che i dati sono stati recuperati dall’autore della minaccia durante un breve intervallo di tempo prima che l’accesso venisse interrotto. I dati recuperati dall’autore della minaccia erano limitati a informazioni aziendali di base e in gran parte disponibili al pubblico, come nomi aziendali e recapiti.

Google dichiara inoltre di aver identificato, in seguito al furto dei dati, diversi tentativi di estorsione messi in atto prendendo di mira i dipendenti delle aziende convolte, attraverso telefonate o email. Talvolta è richiesto il pagamento di un riscatto in Bitcoin entro un lasso di tempo piuttosto breve, indicativamente 72 ore. Spesso il contatto avviene attraverso caselle come shinycorp@tuta[.]com o shinygroup@tuta[.]com . Ricordiamo che Tuta è un servizio del tutto legittimo, che protegge l’identità del mittente nelle comunicazioni.

È inoltre ritenuto plausibile che i responsabili siano al lavoro per preparare un sito leak da mandare online. Attraverso il portale dovrebbero provare a mettere ancora più pressione alle vittime, minacciando la pubblicazione di quanto sottratto. Non è stato reso noto quanti siano i clienti colpiti dalla violazione.