CibersegurançaNotícias

FBI alerta sobre ataques ao Salesforce para roubo de dados

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
SalesForce

Entenda o alerta do FBI sobre como hackers estão usando táticas de engenharia social e tokens roubados para invadir o Salesforce e extorquir empresas.

Nos últimos dias, o FBI emitiu um alerta crítico sobre ataques Salesforce que estão impactando empresas de diferentes setores em todo o mundo. A agência destacou que grupos de hackers estão explorando vulnerabilidades e a confiança nas integrações de aplicativos para roubo de dados no Salesforce, colocando em risco informações sensíveis de clientes e operações corporativas. Este alerta evidencia a urgência de reforçar a segurança do Salesforce e a importância de entender como ataques direcionados podem afetar a reputação e a integridade dos negócios.

Conteúdo

O objetivo deste artigo é detalhar as estratégias utilizadas pelos grupos de ameaça UNC6040 e UNC6395, explicar de forma acessível os conceitos técnicos por trás dos ataques, analisar a conexão com o grupo de extorsão ShinyHunters e contextualizar o impacto que essas ações podem gerar para a segurança corporativa. Para profissionais de TI, administradores de sistemas e gestores de segurança da informação, entender essas ameaças é essencial para proteger o Salesforce e outros sistemas críticos na nuvem.

Com mais de 150 mil clientes corporativos em todo o mundo, o Salesforce concentra uma enorme quantidade de dados de clientes, históricos de vendas, informações financeiras e dados pessoais. Um ataque bem-sucedido não só compromete a confidencialidade dessas informações, mas também pode gerar extorsão, perda de confiança e danos financeiros significativos. Por isso, compreender como esses grupos operam é crucial para implementar medidas preventivas eficazes.

Cibercriminoso operando laptop em ambiente escuro representando agentes de IA em cibersegurança

O que diz o alerta do FBI sobre os ataques ao Salesforce?

O FBI divulgou informações detalhadas sobre as campanhas de hackers visando Salesforce, alertando empresas para a necessidade de revisar suas políticas de segurança. Entre os principais pontos do alerta, destacam-se:

  • Indicadores de Comprometimento (IOCs): a agência fornece listas de aplicativos suspeitos, endereços de IP e outros sinais que podem indicar invasões em potencial.
  • Grupos de ameaça identificados: os hackers pertencem principalmente aos grupos UNC6040 e UNC6395, conhecidos por campanhas sofisticadas de roubo de dados e extorsão.
  • Objetivo dos ataques: coletar dados corporativos valiosos, incluindo credenciais, informações de clientes e registros financeiros, que podem ser vendidos ou utilizados para extorsão.

Esses ataques demonstram que não é apenas uma vulnerabilidade técnica que ameaça as empresas, mas também a exploração da confiança e do comportamento humano, especialmente através de aplicativos integrados e permissões concedidas inadvertidamente.

Desvendando as táticas: como os hackers comprometem o Salesforce

UNC6040: engenharia social e o perigo dos aplicativos OAuth

O grupo UNC6040 tem se destacado pelo uso intensivo de engenharia social, especialmente vishing – uma forma de phishing por voz, onde os funcionários são contatados por telefone e persuadidos a executar ações que comprometem a segurança. Um exemplo recente envolve a instalação de aplicativos maliciosos como o “My Ticket Portal” via OAuth.

Para entender o risco, é importante saber que um aplicativo OAuth é um software que recebe permissões para acessar dados em nome de um usuário. Ao conceder acesso a um aplicativo malicioso, a empresa pode permitir que os hackers realizem exfiltração em massa de dados, sem que a plataforma Salesforce detecte imediatamente atividades suspeitas. Essa abordagem é particularmente perigosa porque explora a confiança na plataforma e nos aplicativos aparentemente legítimos, transformando usuários e administradores em vetores involuntários de ataque.

UNC6395: o ataque pela cadeia de suprimentos via Salesloft Drift

O grupo UNC6395 utiliza um método mais sutil e sofisticado conhecido como ataque pela cadeia de suprimentos de software. Nesse caso, os hackers exploraram tokens OAuth roubados de integrações com a plataforma Salesloft Drift para acessar o Salesforce de forma legítima, mascarando suas atividades como operações autorizadas.

Além disso, durante essas invasões, os hackers conseguiram extrair credenciais e dados de outros serviços conectados, como AWS e Snowflake, ampliando o impacto do ataque. Essa técnica evidencia que a segurança do Salesforce não depende apenas da plataforma em si, mas também da integridade das integrações com terceiros e da gestão de permissões concedidas aos aplicativos conectados.

O rastro da extorsão: ShinyHunters e a conexão com o grupo Lapsus$

Os dados obtidos pelos grupos UNC6040 e UNC6395 frequentemente chegam a organizações como o ShinyHunters, conhecido por comercializar ou usar informações roubadas para extorsão corporativa. Este grupo se coloca em paralelo com atores mais notórios, como Lapsus$ e Scattered Spider, que são reconhecidos por ataques de alto impacto e visibilidade.

Em declarações ousadas, os hackers afirmaram ter acessado sistemas de grandes empresas, incluindo alegações sobre órgãos como o FBI e o Google, reforçando a audácia do grupo e o potencial de risco associado ao roubo de dados no Salesforce. Esses movimentos servem como alerta para que empresas reforcem suas estratégias de defesa e monitorem de perto atividades suspeitas em seus sistemas.

Conclusão: o que sua empresa pode aprender com esses ataques?

Os recentes ataques ao Salesforce reforçam que a segurança em plataformas SaaS é uma responsabilidade compartilhada. Não basta contar com os mecanismos nativos da plataforma; é necessário treinar usuários, auditar integrações e revisar permissões de aplicativos OAuth regularmente.

Empresas devem implementar:

  • Auditoria de aplicativos conectados: verifique periodicamente quais aplicativos têm acesso e revogue permissões desnecessárias.
  • Treinamento em engenharia social: capacite funcionários para identificar tentativas de vishing, phishing e outros ataques de manipulação.
  • Monitoramento contínuo de tokens OAuth e integrações de terceiros: esteja atento a sinais de comprometimento em serviços conectados, como AWS, Snowflake e Salesloft Drift.

A lição principal é clara: proteger o Salesforce e outros sistemas críticos na nuvem exige atenção constante, cultura de segurança e estratégias preventivas proativas. A colaboração entre usuários, administradores e equipes de segurança é essencial para mitigar o risco e evitar que hackers convertam dados corporativos em extorsão e prejuízo financeiro.

TAGGED:
Compartilhe este artigo
Artigo anterior B756yx5s temu O programa de afiliados da TEMU: Um guia completo para alavancar seus ganhos e o engajamento
Próximo artigo Andorid Canary Segurança do Android: A nova política de atualizações do Google explicada

Leia também

Posts sobre o mesmo assunto