Технологический гигант Google официально подтвердил факт компрометации одного из своих корпоративных инстансов Salesforce CRM в результате целенаправленной атаки хакерской группировки ShinyHunters. Инцидент, произошедший в июне 2025 года, стал частью масштабной кампании киберпреступников, направленной против компаний, использующих популярную CRM-платформу.
Детали инцидента и методы атаки
Согласно официальному заявлению Google, злоумышленники получили несанкционированный доступ к корпоративному инстансу Salesforce, содержащему контактную информацию предприятий малого и среднего бизнеса. Компания подчеркивает, что скомпрометированные данные в основном ограничивались базовой и общедоступной информацией, включая названия организаций и контактные сведения.
Специалисты Google идентифицировали атакующих как группировки UNC6040 и UNC6240, известные под общим названием ShinyHunters. Киберпреступники использовали комбинацию методов социальной инженерии и вишинга (голосового фишинга) для получения первоначального доступа к системам жертв.
Профиль угрозы: группировка ShinyHunters
ShinyHunters представляет собой опытную хакерскую группировку с многолетней историей кибератак на крупные корпорации. В портфолио группы значатся успешные компрометации таких компаний, как Oracle Cloud, Snowflake, AT&T, NitroPDF, Wattpad и MathWay.
Бизнес-модель группировки строится на классической схеме ransomware-as-a-service: после извлечения конфиденциальных данных злоумышленники инициируют переговоры с пострадавшими организациями, требуя выкуп за неразглашение информации. В случае отказа от выплаты данные либо публикуются в открытом доступе, либо продаются на теневых торговых площадках.
Финансовые аспекты кибервымогательства
Анализ недавней активности ShinyHunters показывает значительные суммы выкупов. По имеющимся данным, одна из неназванных компаний недавно выплатила группировке 4 биткоина (приблизительно $400,000) для предотвращения утечки корпоративных данных.
Масштаб кампании против Salesforce CRM
Атака на Google стала частью широкомасштабной кампании, направленной против пользователей платформы Salesforce CRM. Среди подтвержденных жертв аналогичных инцидентов:
Крупные корпорации: Adidas, авиакомпания Qantas, страховая компания Allianz Life, официальный сайт Cisco.com
Предприятия модной индустрии: бренды LVMH Group (Louis Vuitton, Dior, Tiffany & Co), модный дом Chanel, датская ювелирная компания Pandora
Анализ векторов атаки и методологии
Успех атак ShinyHunters во многом обусловлен эффективным использованием методов социальной инженерии. Группировка специализируется на целенаправленном вишинге — технике, при которой злоумышленники по телефону выдают себя за представителей IT-поддержки или других доверенных служб для получения учетных данных сотрудников.
Данная методология позволяет обходить традиционные технические средства защиты, эксплуатируя человеческий фактор как наиболее уязвимое звено в системе кибербезопасности предприятий.
Инцидент с Google подчеркивает критическую важность комплексного подхода к корпоративной кибербезопасности, включающего не только технические решения, но и регулярное обучение персонала методам противодействия социальной инженерии. Организациям рекомендуется внедрить многофакторную аутентификацию, регулярно проводить аудит безопасности облачных сервисов и разработать четкие протоколы верификации запросов на предоставление конфиденциальной информации.
