Google a confirmé faire partie des victimes d'une campagne de vol de données visant les instances Salesforce, avec des tactiques d'extorsion exigeant un paiement en bitcoins.Google a confirmé faire partie des victimes d'une campagne de vol de données visant les instances Salesforce. Le géant technologique a confirmé que des données avaient été récupérées par l'auteur de la menace, mais il s'agissait principalement d'informations commerciales accessibles au public, telles que des noms d'entreprises et des coordonnées. Cette cyberattaque a été associée à ShinyHunters, suivi par le Google Threat Intelligence Group (GTIG) sous les noms UNC6040 et UN6240.
Salesforce est une société américaine de logiciels basés sur le cloud dont le siège social est situé à San Francisco, en Californie. Elle fournit des applications axées sur les ventes, le service client, l'automatisation du marketing, le commerce électronique, l'analyse de données, l'intelligence artificielle et le développement d'applications. Elle est devenue la plus grande entreprise d'applications d'entreprise au monde en 2022.
Récemment, Google a confirmé faire partie des victimes d'une campagne de vol de données visant les instances Salesforce. Le géant technologique a confirmé que des données avaient été récupérées par l'auteur de la menace, mais il s'agissait principalement d'informations commerciales accessibles au public, telles que des noms d'entreprises et des coordonnées. Cette cyberattaque a été associée à ShinyHunters, suivi par le Google Threat Intelligence Group (GTIG) sous les noms UNC6040 et UN6240.
Dans une mise à jour publiée le 5 août, Google a déclaré : « Google a réagi à cette activité, a effectué une analyse d'impact et a commencé à mettre en place des mesures d'atténuation. L'instance était utilisée pour stocker les coordonnées et les notes associées des petites et moyennes entreprises. » ShinyHunters est un groupe de cybercriminels motivés par l'appât du gain, spécialisé dans les campagnes de phishing vocal (vishing) conçues spécifiquement pour compromettre les instances Salesforce des organisations afin de voler des données à grande échelle et de procéder à des extorsions. Les campagnes de vishing visent à piéger les victimes afin qu'elles divulguent leurs identifiants de connexion et leurs codes MFA.
GTIG a averti que les acteurs malveillants utilisant la marque ShinyHunters pourraient se préparer à intensifier leurs tactiques d'extorsion en lançant un site de fuite de données. Pour l'instant, leurs tactiques d'extorsion consistent à passer des appels ou à envoyer des e-mails aux employés de l'organisation victime pour exiger un paiement en bitcoins dans les 72 heures. Un nouveau site de fuite de données augmentera la pression sur les victimes, y compris celles touchées par les récentes violations de données liées à Salesforce.
William Wright, PDG de Closed Door Security, a déclaré : « ShinyHunters a récemment mené un grand nombre d'attaques via Salesforce et il est essentiel que les organisations en prennent note. Les auteurs de ces menaces ont également affirmé que de nombreuses attaques n'ont toujours pas été signalées, nous pouvons donc nous attendre à ce que d'autres victimes soient annoncées dans les semaines à venir. »
Chanel et Pandora ont révélé des violations de données clients liées à l'activité de ShinyHunters début août 2025. Parmi les autres entreprises soupçonnées d'avoir été victimes de ShinyHunters de la même manière, on peut citer Allianz Life, Adidas, Qantas et plusieurs marques du groupe LVMH.
Voici les recommandations de Google :
Préparation, mesures d'atténuation et renforcement
Cette campagne souligne l'importance d'un modèle de responsabilité partagée pour la sécurité du cloud. Si des plateformes telles que Salesforce offrent des contrôles de sécurité robustes et adaptés aux entreprises, il est essentiel que les clients configurent et gèrent les accès, les autorisations et la formation des utilisateurs conformément aux meilleures pratiques.
Pour se défendre contre les menaces d'ingénierie sociale, en particulier celles qui exploitent des outils tels que Data Loader pour l'exfiltration de données, les organisations doivent mettre en œuvre une stratégie de défense en profondeur. GTIG recommande les mesures d'atténuation et de renforcement suivantes :
En mettant en œuvre ces mesures, les organisations peuvent renforcer considérablement leur posture de sécurité contre les types de vishing et la campagne d'exfiltration de données UNC6040 détaillés dans ce rapport. Consultez régulièrement la documentation de Salesforce sur la sécurité, y compris le guide de sécurité Salesforce, pour obtenir des conseils supplémentaires détaillés.
Cette campagne souligne l'importance d'un modèle de responsabilité partagée pour la sécurité du cloud. Si des plateformes telles que Salesforce offrent des contrôles de sécurité robustes et adaptés aux entreprises, il est essentiel que les clients configurent et gèrent les accès, les autorisations et la formation des utilisateurs conformément aux meilleures pratiques.
Pour se défendre contre les menaces d'ingénierie sociale, en particulier celles qui exploitent des outils tels que Data Loader pour l'exfiltration de données, les organisations doivent mettre en œuvre une stratégie de défense en profondeur. GTIG recommande les mesures d'atténuation et de renforcement suivantes :
- Respectez le principe du moindre privilège, en particulier pour les outils d'accès aux données : n'accordez aux utilisateurs que les autorisations essentielles à leurs rôles, ni plus, ni moins. En particulier pour les outils tels que Data Loader, qui nécessitent souvent l'autorisation « API activée » pour fonctionner pleinement, limitez strictement son attribution. Cette autorisation permet de larges capacités d'exportation de données ; par conséquent, son attribution doit être soigneusement contrôlée. Conformément aux recommandations de Salesforce, examinez et configurez l'accès à Data Loader afin de limiter le nombre d'utilisateurs pouvant effectuer des opérations sur des données en masse, et vérifiez régulièrement les profils et les ensembles d'autorisations afin de garantir des niveaux d'accès appropriés.
- Gérez rigoureusement l'accès aux applications connectées : contrôlez la manière dont les applications externes, y compris Data Loader, interagissent avec votre environnement Salesforce. Gérez avec diligence l'accès à vos applications connectées, en spécifiant quels utilisateurs, profils ou ensembles d'autorisations peuvent les utiliser et à partir de quel endroit. Il est essentiel de limiter les autorisations puissantes telles que « Personnaliser l'application » et « Gérer les applications connectées », qui permettent aux utilisateurs d'autoriser ou d'installer de nouvelles applications connectées, au personnel administratif essentiel et de confiance uniquement. Envisagez de mettre en place un processus de vérification et d'approbation des applications connectées, en ajoutant éventuellement à la liste blanche les applications connues pour être sûres afin d'empêcher l'introduction non autorisée d'applications malveillantes, telles que des instances modifiées de Data Loader.
- Appliquez des restrictions d'accès basées sur l'adresse IP : pour contrer les tentatives d'accès non autorisées, y compris celles provenant d'acteurs malveillants utilisant des VPN commerciaux, mettez en place des restrictions d'adresse IP. Définissez des plages de connexion et des adresses IP fiables, limitant ainsi l'accès à vos réseaux d'entreprise et VPN définis. Définissez des plages d'adresses IP autorisées pour les profils utilisateur et, le cas échéant, pour les politiques d'applications connectées afin de garantir que les connexions et les autorisations d'applications provenant d'adresses IP inattendues ou non fiables soient refusées ou correctement contestées.
- Tirez parti de la surveillance avancée de la sécurité et de l'application des politiques avec Salesforce Shield : pour améliorer les capacités d'alerte, de visibilité et de réponse automatisée, utilisez les outils de Salesforce Shield. Les politiques de sécurité des transactions vous permettent de surveiller des activités telles que les téléchargements de données volumineux (un signe courant d'utilisation abusive de Data Loader) et de déclencher automatiquement des alertes ou de bloquer ces actions. Complétez cela avec la « surveillance des événements » pour obtenir une visibilité approfondie sur le comportement des utilisateurs, les modèles d'accès aux données (par exemple, qui a consulté quelles données et quand), l'utilisation des API et d'autres activités critiques, ce qui vous aidera à détecter les anomalies indiquant une compromission. Ces journaux peuvent également être intégrés à vos outils de sécurité internes pour une analyse plus approfondie.
- Appliquez l'authentification multifactorielle (MFA) de manière universelle : bien que les tactiques d'ingénierie sociale décrites puissent consister à inciter les utilisateurs à répondre à une invite MFA (par exemple, pour autoriser une application connectée malveillante), la MFA reste un contrôle de sécurité fondamental. Salesforce affirme que « la MFA est un outil essentiel et efficace pour renforcer la protection contre les accès non autorisés aux comptes » et l'exige pour les connexions directes. Assurez-vous que l'authentification multifactorielle est mise en œuvre de manière rigoureuse dans toute votre organisation et que les utilisateurs sont informés des tactiques de lassitude liées à l'authentification multifactorielle et des tentatives d'ingénierie sociale visant à contourner cette protection essentielle.
En mettant en œuvre ces mesures, les organisations peuvent renforcer considérablement leur posture de sécurité contre les types de vishing et la campagne d'exfiltration de données UNC6040 détaillés dans ce rapport. Consultez régulièrement la documentation de Salesforce sur la sécurité, y compris le guide de sécurité Salesforce, pour obtenir des conseils supplémentaires détaillés.
Source : Google
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinente ? Quel est votre avis sur le sujet ?Voir aussi :
Le mobile devient la voie privilégiée pour les attaques contre les entreprises. Les smartphones, les ordinateurs portables et les tablettes accédant aux données et aux systèmes sensibles Twilio, la société de communication sur le cloud, confirme avoir été victime d'une violation de données après la fuite de 33 millions de numéros de téléphone d'utilisateurs Authy, son outil MFA Les gouvernements ont plus que jamais recours à des piratages de type "zero-day". Les menaces "zero-day" ont tendance à augmenter, même si le nombre total de détections a baissé en 2024
Vous avez lu gratuitement 317 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.