Google hat einen schwerwiegenden Cybersecurity-Vorfall bestätigt, bei dem Hacker der berüchtigten Gruppe ShinyHunters erfolgreich in die Salesforce-CRM-Infrastruktur eingedrungen sind und dabei etwa 2,55 Millionen Datensätze von Google Ads-Kunden kompromittiert haben. Der im Juni 2025 durchgeführte Angriff demonstriert eindrucksvoll die wachsende Bedrohung durch professionelle Cyberkriminelle, die gezielt Cloud-basierte Unternehmenssysteme ins Visier nehmen.
Vishing-Attacke als Einfallstor für Cyberkriminelle
Die Angreifer, die unter den Bezeichnungen UNC6040 und UNC6240 operieren, setzten auf eine ausgeklügelte Social-Engineering-Strategie. Ihr primäres Werkzeug war Vishing – eine besonders raffinierte Form des Phishings, die auf Sprachanrufe setzt, um Mitarbeiter zu täuschen und Zugangsberechtigungen zu erlangen.
Diese Methode erweist sich als besonders effektiv, da sie die menschliche Komponente der IT-Sicherheit ausnutzt. Während technische Sicherheitsmaßnahmen kontinuierlich verbessert werden, bleibt der Faktor Mensch oft die schwächste Stelle in der Sicherheitskette. Google hatte bereits vor derartigen Taktiken gewarnt und dabei betont, dass Salesforce-Nutzer verstärkt ins Visier solcher Angriffe geraten.
Umfang der kompromittierten Daten analysiert
Die gestohlenen Informationen umfassen hauptsächlich grundlegende Unternehmensdaten von kleinen und mittleren Betrieben: Firmennamen, Kontakttelefonnummern und interne Notizen der Kundenbetreuung. Besonders bemerkenswert ist, dass sensible Daten wie Zahlungsinformationen, Google Ads-Zugangsdaten oder Analytics-Daten nicht betroffen waren.
Google betonte, dass die Datenextraktion nur über einen kurzen Zeitraum stattfand, bevor der unbefugte Zugriff erkannt und blockiert wurde. Ein Großteil der kompromittierten Informationen fällt in die Kategorie öffentlich zugänglicher oder grundlegender Geschäftsdaten, was das Schadenspotenzial erheblich begrenzt.
Erpressungsversuch und kriminelle Motivation
ShinyHunters forderte zunächst ein Lösegeld von 20 Bitcoin – umgerechnet etwa 2,3 Millionen US-Dollar – um die gestohlenen Daten nicht zu veröffentlichen. Interessanterweise bezeichneten die Hacker ihre Forderung später selbst als provokativ, was die komplexe Motivationsstruktur moderner Cyberkrimineller verdeutlicht.
Gefährliche Allianz: Sp1d3rHunters entsteht
Besonders alarmierend ist die bestätigte Zusammenarbeit zwischen ShinyHunters und der Gruppe Scattered Spider, die sich auf das Verschaffen von Erstzugängen zu Unternehmenssystemen spezialisiert hat. Unter dem neuen Namen Sp1d3rHunters vereinen sie ihre Ressourcen und erhöhen damit die Bedrohung für die Unternehmenssicherheit erheblich.
Salesforce im Fokus koordinierter Angriffswellen
Der Google-Vorfall steht nicht isoliert da, sondern ist Teil einer breit angelegten Kampagne gegen Salesforce-Nutzer. Zu den betroffenen Unternehmen zählen namhafte Konzerne wie Adidas, Qantas, Allianz Life, LVMH-Marken (Louis Vuitton, Dior, Tiffany & Co), Cisco, Chanel und Pandora.
Diese konzentrierte Angriffstaktik auf eine einzige Plattform zeigt die strategische Herangehensweise der Cyberkriminellen. Sie nutzen die weit verbreitete Nutzung von Salesforce als Multiplikator für ihre Angriffe und können so mit einem einzigen Exploit-Ansatz multiple hochwertige Ziele erreichen.
Der Google Ads-Vorfall unterstreicht die kritische Notwendigkeit eines ganzheitlichen Cybersecurity-Ansatzes. Unternehmen müssen sowohl technische Schutzmaßnahmen als auch kontinuierliche Mitarbeiterschulungen gegen Social Engineering implementieren. Besonders Cloud-CRM-Systeme erfordern zusätzliche Authentifizierungsebenen und regelmäßige Sicherheitsüberprüfungen. Die Zunahme koordinierter Angriffe auf beliebte Unternehmensplattformen macht deutlich, dass Cybersicherheit heute mehr denn je eine strategische Priorität für jedes Unternehmen darstellen muss.
