A Google publicou esta semana uma atualização em um dos posts feitos pela companhia em seu blog oficial de Threat Intelligence, afirmando que foi afetada por uma operação de roubo de dados por vishisng, uma modalidade do phishing feito por meio de voz.
O incidente ocorreu em uma das instâncias corporativas do Salesforce da Big Tech, usada par armazenar informações de contato e notas relacionadas a pequenas e médias empresas clientes dela. A nota não aponta, todavia, a origem do ataque ou a amplitude desse impacto.
Ainda de acordo com o alerta, esse incidente partiu de uma atividade cibercriminosa semelhante a um agente hostil denominado UNC6040, que se autodenomina como grupo ShinyHunters. Esses agentes movimentam golpes por extorsão por meio de ligações ou e-mails a empregados da organização vítima, exigindo pagamentos em bitcoin.
“A cadeia de ataque envolve uma chamada de voz para recrutar a vítima, enquanto o agente de ameaça inicia usando IPs Mullvad VPN ou TOR. Após esse contato inicial, a coleta de dados é automatizada e feita por meio de IPs TOR, uma mudança que complica ainda mais os esforços de atribuição e rastreamento”, explica a Inteligência de Ameaças do Google sobre o UNC6040, que já estava sob monitoramento da Big Tech.
Na atualização, a Google informa ter respondido à ação cibercriminosa, realizando uma análise de impacto e aplicando medidas de mitigação urgentes. A análise revelou que os dados foram tomados pelo agente da ameaça durante um pequeno intervalo de tempo antes que o acesso fosse cortado.
“Os dados recuperados pelo agente da ameaça se limitavam a informações comerciais básicas e amplamente disponíveis ao público, como nomes de empresas e detalhes de contato” acrescenta a nota. A Big Tech também não informou se chegou a receber algum tipo de exigência dos agentes hostis.
Assim como a Google, outras organizações multinacionais de tecnologia também foram alvos recentes de diversos tipos de ataques. Um caso recente atingiu a Microsoft, que informou a comunidade internacional que Vulnerabilidades críticas zero day nos sistemas on premise do Microsoft SharePoint, expôs diversas organizações públicas e privadas ao redor do mundo.
Além desse caso, A Amazon Web Services informou, por meio de nota enviada à Security Report, já ter ciência sobre uma nova operação cibercriminosa contra usuários dos serviços de armazenamento de dados da companhia. A campanha de ações maliciosas foi detectada por laboratórios de Threat Intelligence e informada à organização em seguida.
A Security Report publica, na íntegra, nota publicada pela Google em seu blog de threat intel:
“Em junho, uma das instâncias corporativas do Salesforce do Google foi afetada por uma atividade semelhante à UNC6040 descrita em nossa publicação. O Google respondeu à atividade, realizou uma análise de impacto e iniciou medidas de mitigação. A instância era usada para armazenar informações de contato e notas relacionadas a pequenas e médias empresas.
A análise revelou que os dados foram tomados pelo agente da ameaça durante um pequeno intervalo de tempo antes que o acesso fosse cortado. Os dados recuperados pelo agente da ameaça se limitavam a informações comerciais básicas e amplamente disponíveis ao público, como nomes de empresas e detalhes de contato”.
