Vào tháng 6, Google đăng bài viết cảnh báo một nhóm tin tặc mà họ xếp vào loại 'UNC6040' đang nhằm vào nhân viên các công ty bằng các cuộc tấn công lừa đảo qua điện thoại (vishing) và phi kỹ thuật (social engineering) để xâm nhập vào các tài khoản Salesforce và tải về dữ liệu khách hàng. Dữ liệu này sau đó sẽ được dùng để tống tiền doanh nghiệp.
Trong một cập nhật ngắn gọn vào ngày 5/8, Google cho biết họ cũng đã trở thành nạn nhân của chính cuộc tấn công này, sau khi một trong các tài khoản Salesforce CRM của mình bị xâm nhập và dữ liệu khách hàng bị đánh cắp. Công ty đã phân tích tác động và thực hiện các biện pháp giảm thiểu rủi ro.
Theo Google, tài khoản bị xâm nhập được dùng để lưu trữ thông tin liên hệ và các ghi chú liên quan của các doanh nghiệp vừa và nhỏ. “Phân tích cho thấy dữ liệu đã bị tin tặc lấy đi trong một khoảng thời gian ngắn trước khi quyền truy cập bị ngắt”. Dữ liệu chủ yếu là "thông tin kinh doanh cơ bản và phần lớn đã được công khai", như tên doanh nghiệp và chi tiết liên hệ.
Google đã phân loại nhóm tin tặc đứng sau các cuộc tấn công này là 'UNC6040' hoặc 'UNC6240'. Tuy nhiên, BleepingComputer - trang tin tức đã theo dõi các vụ tấn công này - cho biết tin tặc nổi tiếng ShinyHunters chính là thủ phạm.
ShinyHunters đã hoạt động trong nhiều năm và chịu trách nhiệm cho một loạt các vụ vi phạm dữ liệu, bao gồm các vụ tại PowerSchool, Oracle Cloud, các cuộc tấn công đánh cắp dữ liệu từ Snowflake, AT&T, NitroPDF, Wattpad, MathWay và nhiều công ty khác. Trong cuộc trò chuyện với BleepingComputer mới đây, ShinyHunters tuyên bố họ đã xâm nhập nhiều tài khoản Salesforce và các cuộc tấn công vẫn đang tiếp diễn.
Nhóm tin tặc này cũng tiết lộ họ đã xâm nhập một công ty nghìn tỷ USD và đang cân nhắc việc rò rỉ dữ liệu thay vì tống tiền.
Đối với các công ty khác bị ảnh hưởng, ShinyHunters tống tiền họ qua email, yêu cầu trả tiền chuộc để ngăn dữ liệu bị rò rỉ. Theo BleepingComputer, một công ty đã phải trả 4 Bitcoin, tương đương khoảng 400.000 USD, để ngăn chặn điều này.
Các công ty khác bị ảnh hưởng trong các cuộc tấn công này bao gồm Adidas, Qantas, Allianz Life, Cisco, cùng các công ty con của LVMH là Louis Vuitton, Dior, và Tiffany & Co.
(Theo Bleeping Computer)
