Ciberseguridad 360 | Plataforma Salesforce bajo ataque de ciberdelincuentes

La Oficina Federal de Investigaci�n de Estados Unidos (FBI) ha emitido una alerta r�pida para publicar indicadores de compromiso (IoC) asociados a dos grupos de ciberdelincuentes rastreados como UNC6040 y UNC6395 por orquestar una cadena de ataques de robo de datos y extorsi�n.

"Ambos grupos han sido observados recientemente apuntando a las plataformas Salesforce de las organizaciones a trav�s de diferentes mecanismos de acceso inicial", dijo el FBI.

UNC6395 es un grupo de amenazas al que se le atribuye una amplia campa�a de robo de datos dirigida a instancias de Salesforce en agosto de 2025 mediante la explotaci�n de tokens OAuth comprometidos para la aplicaci�n Salesloft Drift. En una actualizaci�n publicada esta semana, Salesloft dijo que el ataque fue posible debido a la violaci�n de su cuenta de GitHub desde marzo hasta junio de 2025.

Como resultado de la violaci�n, Salesloft ha aislado la infraestructura de Drift y ha desconectado la aplicaci�n de chatbot de inteligencia artificial (IA). La compa��a tambi�n dijo que est� en proceso de implementar nuevos procesos de autenticaci�n multifactor y medidas de endurecimiento de GitHub.

"Estamos centrados en el endurecimiento continuo del entorno de la aplicaci�n Drift", dijo la compa��a. "Este proceso incluye la rotaci�n de credenciales, la desactivaci�n temporal de ciertas partes de la aplicaci�n Drift y el fortalecimiento de las configuraciones de seguridad. En este momento, estamos aconsejando a todos los clientes de Drift que traten todas y cada una de las integraciones de Drift y los datos relacionados como potencialmente comprometidos."

El segundo grupo sobre el que el FBI ha llamado la atenci�n es UNC6040. Considerado activo desde octubre de 2024, UNC6040 es el nombre asignado por Google a un grupo de amenazas con motivaciones financieras que ha participado en campa�as de vishing para obtener acceso inicial y secuestrar instancias de Salesforce para el robo de datos a gran escala y la extorsi�n.

Estos ataques han implicado el uso de una versi�n modificada de la aplicaci�n Data Loader de Salesforce y scripts Python personalizados para acceder a los portales de Salesforce de las v�ctimas y extraer datos valiosos. Al menos algunos de los incidentes han implicado actividades de extorsi�n tras las intrusiones de UNC6040, y han tenido lugar meses despu�s del robo inicial de datos.

"Los actores de la amenaza UNC6040 han utilizado paneles de phishing, dirigiendo a las v�ctimas a visitar desde sus tel�fonos m�viles u ordenadores de trabajo durante las llamadas de ingenier�a social", dijo el FBI. "Despu�s de obtener acceso, los actores de amenazas UNC6040 han utilizado entonces consultas API para exfiltrar grandes vol�menes de datos en masa".

La fase de extorsi�n ha sido atribuida por Google a otro cl�ster no categorizado rastreado como UNC6240, que ha afirmado sistem�ticamente ser el grupo ShinyHunters en correos electr�nicos y llamadas a empleados de organizaciones v�ctimas.

"Adem�s, creemos que los actores de amenazas que utilizan la marca <ShinyHunters> pueden estar prepar�ndose para escalar sus t�cticas de extorsi�n mediante el lanzamiento de un sitio de fuga de datos (DLS)", se�al� Google el mes pasado. "Es probable que estas nuevas t�cticas est�n destinadas a aumentar la presi�n sobre las v�ctimas, incluidas las asociadas a las recientes violaciones de datos relacionadas con Salesforce UNC6040".

Desde entonces, ha habido una avalancha de acontecimientos, siendo el m�s notable la uni�n de ShinyHunters, Scattered Spider y LAPSUS$ para consolidar y unificar sus esfuerzos criminales. Luego, el 12 de septiembre de 2025, el grupo afirm� en su canal de Telegram �scattered LAPSUS$ hunters 4.0� que cerraban.

"Nosotros LAPSUS$, Trihash, Yurosh, Yaxsh, WyTroZz, N3z0x, Nitroz, TOXIQUEROOT, Prosox, Pertinax, Kurosh, Clown, IntelBroker, Scattered Spider, Yukari y entre muchos otros, hemos decidido pasar a la oscuridad", dijo el grupo. "Cumplidos nuestros objetivos, ha llegado el momento de decir adi�s".

Por el momento no est� claro qu� ha llevado al grupo a colgar las botas, pero es posible que el movimiento sea un intento de pasar desapercibidos y evitar m�s atenci�n de las fuerzas del orden.

"El reci�n formado grupo de cazadores dispersos LAPSUS$ 4.0 dijo que cuelga las botas y ?pasa a la oscuridad? despu�s de que alegara que las fuerzas del orden francesas detuvieron a otra persona equivocada en relaci�n con el grupo de ciberdelincuentes", dijo Sam Rubin, vicepresidente senior de Unit 42 Consulting and Threat Intelligence, a The Hacker News. "Estas declaraciones rara vez indican una verdadera retirada".

"Las recientes detenciones pueden haber impulsado al grupo a pasar desapercibido, pero la historia nos dice que esto suele ser temporal. Grupos como este se escinden, cambian de marca y resurgen, como ShinyHunters. Incluso si las operaciones p�blicas se detienen, los riesgos persisten: los datos robados pueden resurgir, las puertas traseras no detectadas pueden persistir y los actores pueden resurgir con nuevos nombres. El silencio de un grupo de amenaza no equivale a seguridad. Las organizaciones deben permanecer vigilantes y operar bajo el supuesto de que la amenaza no ha desaparecido, s�lo se ha adaptado."

Fuente: thehackernews