Der Technologiekonzern Google hat offiziell bestätigt, dass seine Salesforce CRM-Instanz Opfer eines gezielten Cyberangriffs der berüchtigten Hackergruppe ShinyHunters wurde. Der im Juni 2025 verübte Angriff ist Teil einer weitreichenden Kampagne gegen Unternehmen, die die beliebte Customer-Relationship-Management-Plattform nutzen.
Umfang des Sicherheitsvorfalls bei Google
Nach Angaben von Google verschafften sich die Cyberkriminellen unbefugten Zugang zu einer unternehmensinternen Salesforce-Instanz, die Kontaktdaten von kleinen und mittleren Unternehmen enthielt. Das Unternehmen betont, dass die kompromittierten Informationen hauptsächlich auf öffentlich zugängliche Basisdaten beschränkt waren, darunter Firmenbezeichnungen und Kontaktinformationen.
Die Sicherheitsexperten von Google identifizierten die Angreifer als Mitglieder der Gruppierungen UNC6040 und UNC6240, die gemeinsam unter dem Namen ShinyHunters operieren. Die Cyberkriminellen setzten eine Kombination aus Social Engineering und Vishing-Techniken ein, um sich initialen Zugang zu den Zielsystemen zu verschaffen.
ShinyHunters: Profil einer gefährlichen Bedrohung
ShinyHunters gilt als eine der aktivsten und erfolgreichsten Hackergruppen der Gegenwart. Das Kollektiv kann bereits auf eine beeindruckende Liste kompromittierter Großunternehmen verweisen, darunter Oracle Cloud, Snowflake, AT&T, NitroPDF, Wattpad und MathWay.
Das Geschäftsmodell der Gruppe basiert auf dem Ransomware-as-a-Service-Prinzip: Nach der Extraktion sensibler Daten nehmen die Angreifer Kontakt zu den betroffenen Organisationen auf und fordern Lösegeld für das Stillschweigen über die erbeuteten Informationen. Bei Zahlungsverweigerung werden die Daten entweder öffentlich preisgegeben oder auf Underground-Marktplätzen verkauft.
Lukrative Erpressungsgeschäfte
Aktuelle Analysen der ShinyHunters-Aktivitäten zeigen erhebliche Lösegeldsummen auf. Berichten zufolge zahlte ein nicht näher genanntes Unternehmen kürzlich 4 Bitcoin (etwa 400.000 US-Dollar) an die Gruppe, um eine Datenleckage zu verhindern.
Weitreichende Salesforce-Angriffskampagne
Der Google-Vorfall stellt nur die Spitze des Eisbergs einer umfassenden Angriffswelle gegen Salesforce CRM-Nutzer dar. Zu den bestätigten Opfern vergleichbarer Attacken gehören namhafte Konzerne aus verschiedenen Branchen:
Internationale Großunternehmen: Adidas, die Fluggesellschaft Qantas, der Versicherungskonzern Allianz Life sowie die offizielle Cisco.com-Website fielen den Angriffen zum Opfer.
Luxusmarken und Modeindustrie: Die Angreifer kompromittierten mehrere Marken der LVMH-Gruppe, darunter Louis Vuitton, Dior und Tiffany & Co. Auch das französische Modehaus Chanel und der dänische Schmuckhersteller Pandora wurden Ziel der Cyberkriminellen.
Angriffsvektoren und Erfolgsstrategien
Der Erfolg von ShinyHunters beruht maßgeblich auf der geschickten Anwendung von Social Engineering-Methoden. Die Gruppe hat sich auf gezieltes Vishing spezialisiert – eine Technik, bei der sich Angreifer telefonisch als IT-Support-Mitarbeiter oder andere vertrauenswürdige Dienstleister ausgeben, um Zugangsdaten von Mitarbeitern zu erschleichen.
Diese Vorgehensweise ermöglicht es den Cyberkriminellen, herkömmliche technische Sicherheitsmaßnahmen zu umgehen, indem sie den Menschen als schwächstes Glied in der Sicherheitskette ausnutzen. Die Methode erweist sich als besonders effektiv, da sie auf psychologische Manipulation statt auf technische Exploits setzt.
Der Google-Vorfall unterstreicht die dringende Notwendigkeit eines ganzheitlichen Cybersecurity-Ansatzes. Unternehmen sollten neben robusten technischen Schutzmaßnahmen verstärkt in die Schulung ihrer Mitarbeiter investieren, um Social Engineering-Angriffe zu erkennen und abzuwehren. Die Implementierung von Multi-Faktor-Authentifizierung, regelmäßige Sicherheitsaudits von Cloud-Services und die Etablierung klarer Verifikationsprotokolle für Informationsanfragen sind essentiell für einen wirksamen Schutz vor modernen Cyberbedrohungen.
