Vào tháng 6 vừa qua, Google đã cảnh báo rằng, một tác nhân đe dọa được phân loại là 'UNC6040' đang nhắm mục tiêu vào nhân viên của các công ty bằng các cuộc tấn công lừa đảo qua giọng nói (vishing) nhằm xâm nhập các máy chủ Salesforce và tải xuống dữ liệu khách hàng. Dữ liệu này sau đó được sử dụng để tống tiền các công ty trả tiền chuộc nhằm ngăn chặn dữ liệu bị rò rỉ.
 |
Trong một bản cập nhật ngắn gọn cho bài viết tối qua, Google cho biết họ cũng là nạn nhân của cùng một cuộc tấn công vào tháng 6 sau khi một trong những máy chủ Salesforce CRM của họ bị xâm nhập và dữ liệu khách hàng bị đánh cắp.
"Vào tháng 6 năm nay, một trong những máy chủ Salesforce dành cho doanh nghiệp của Google đã bị ảnh hưởng bởi hoạt động tấn công của UNC6040 tương tự như những gì đã được mô tả trong bài viết này. Google đã phản hồi hoạt động này, thực hiện phân tích tác động và bắt đầu các biện pháp giảm thiểu", bản cập nhật của Google cho biết.
"Trường hợp máy chủ này của Google được sử dụng để lưu trữ thông tin liên hệ, cũng như các ghi chú liên quan cho các doanh nghiệp vừa và nhỏ. Phân tích cho thấy dữ liệu đã bị kẻ tấn công thu thập trong một khoảng thời gian ngắn trước khi quyền truy cập bị cắt".
"Dữ liệu mà kẻ tấn công thu thập được chỉ giới hạn ở các thông tin doanh nghiệp cơ bản và phần lớn được công khai, chẳng hạn như tên doanh nghiệp và thông tin liên hệ".
Google đang phân loại các tác nhân đe dọa đứng sau các cuộc tấn công này là 'UNC6040' hoặc 'UNC6240'. Tuy nhiên, các chuyên gia nghiên cứu của BleepingComputer, đơn vị theo dõi các cuộc tấn công dạng này, đã phát hiện ra rằng một tác nhân đe dọa khét tiếng được biết đến với cái tên ShinyHunters chính là kẻ đứng sau các cuộc tấn công.
ShinyHunters đã hoạt động trong nhiều năm, chịu trách nhiệm cho một loạt các vụ vi phạm, bao gồm các vụ tại PowerSchool, Oracle Cloud, các vụ tấn công đánh cắp dữ liệu Snowflake, AT&T, NitroPDF, Wattpad, MathWay và nhiều vụ khác nữa.
Trong một cuộc trò chuyện với BleepingComputer mới đây, ShinyHunters tuyên bố đã xâm nhập vào nhiều trường hợp của Salesforce, và các cuộc tấn công vẫn đang tiếp diễn.
Gần đây, kẻ tấn công đã tuyên bố với BleepingComputer rằng, chúng đã xâm nhập vào một công ty nghìn tỷ đô la và đang cân nhắc việc chỉ làm rò rỉ dữ liệu thay vì cố gắng tống tiền họ. Hiện vẫn chưa rõ liệu công ty này có phải là Google hay không.
Đối với các công ty khác bị ảnh hưởng trong các cuộc tấn công này, kẻ tấn công đang tống tiền họ qua email, yêu cầu họ trả tiền chuộc để ngăn dữ liệu bị rò rỉ công khai.
Sau khi hoàn tất việc tống tiền bí mật, chúng dự định sẽ công khai rò rỉ hoặc bán dữ liệu trên một diễn đàn tin tặc.
BleepingComputer đã biết về một công ty đã trả 4 Bitcoin, tương đương khoảng 400.000 đô la, để ngăn chặn việc rò rỉ dữ liệu của họ.
Các công ty khác bị ảnh hưởng trong các cuộc tấn công này bao gồm Adidas, Qantas, Allianz Life, Cisco và các công ty con của LVMH gồm Louis Vuitton, Dior và Tiffany & Co.
Hà Linh
Bình luận