Google vừa trở thành nạn nhân mới nhất trong làn sóng tấn công đánh cắp dữ liệu thông qua nền tảng quản lư quan hệ khách hàng (CRM) Salesforce.
Vào tháng 6, Google đăng bài viết cảnh báo một nhóm tin tặc mà họ xếp vào loại 'UNC6040' đang nhằm vào nhân viên các công ty bằng các cuộc tấn công lừa đảo qua điện thoại (vishing) và phi kỹ thuật (social engineering) để xâm nhập vào các tài khoản Salesforce và tải về dữ liệu khách hàng. Dữ liệu này sau đó sẽ được dùng để tống tiền doanh nghiệp.
Google thừa nhận bị tấn công mạng và đánh cắp dữ liệu. Ảnh chụp màn h́nh.
Trong một cập nhật ngắn gọn vào ngày 5/8, Google cho biết họ cũng đă trở thành nạn nhân của chính cuộc tấn công này, sau khi một trong các tài khoản Salesforce CRM của ḿnh bị xâm nhập và dữ liệu khách hàng bị đánh cắp. Công ty đă phân tích tác động và thực hiện các biện pháp giảm thiểu rủi ro.
Theo Google, tài khoản bị xâm nhập được dùng để lưu trữ thông tin liên hệ và các ghi chú liên quan của các doanh nghiệp vừa và nhỏ. “Phân tích cho thấy dữ liệu đă bị tin tặc lấy đi trong một khoảng thời gian ngắn trước khi quyền truy cập bị ngắt”. Dữ liệu chủ yếu là "thông tin kinh doanh cơ bản và phần lớn đă được công khai", như tên doanh nghiệp và chi tiết liên hệ.
Google đă phân loại nhóm tin tặc đứng sau các cuộc tấn công này là 'UNC6040' hoặc 'UNC6240'. Tuy nhiên, BleepingComputer - trang tin tức đă theo dơi các vụ tấn công này - cho biết tin tặc nổi tiếng ShinyHunters chính là thủ phạm.
ShinyHunters đă hoạt động trong nhiều năm và chịu trách nhiệm cho một loạt các vụ vi phạm dữ liệu, bao gồm các vụ tại PowerSchool, Oracle Cloud, các cuộc tấn công đánh cắp dữ liệu từ Snowflake, AT&T, NitroPDF, Wattpad, MathWay và nhiều công ty khác. Trong cuộc tṛ chuyện với BleepingComputer mới đây, ShinyHunters tuyên bố họ đă xâm nhập nhiều tài khoản Salesforce và các cuộc tấn công vẫn đang tiếp diễn.
Nhóm tin tặc này cũng tiết lộ họ đă xâm nhập một công ty ngh́n tỷ USD và đang cân nhắc việc ṛ rỉ dữ liệu thay v́ tống tiền.
Đối với các công ty khác bị ảnh hưởng, ShinyHunters tống tiền họ qua email, yêu cầu trả tiền chuộc để ngăn dữ liệu bị ṛ rỉ. Theo BleepingComputer, một công ty đă phải trả 4 Bitcoin, tương đương khoảng 400.000 USD, để ngăn chặn điều này.
Các công ty khác bị ảnh hưởng trong các cuộc tấn công này bao gồm Adidas, Qantas, Allianz Life, Cisco, cùng các công ty con của LVMH là Louis Vuitton, Dior, và Tiffany & Co.