FBI alerta sobre grupos cibercriminosos visando plataformas Salesforce

O FBI emitiu um alerta sobre dois grupos cibercriminosos - UNC6040 e UNC6395 - que estão realizando ataques de roubo de dados e extorsão contra plataformas Salesforce.

UNC6395 explorou tokens OAuth comprometidos do aplicativo Salesloft Drift após um comprometimento da conta GitHub da Salesloft entre março e junho de 2025. A empresa isolou a infraestrutura do Drift e está implementando novas medidas de segurança.

UNC6040 utiliza campanhas de vishing (phishing por voz) para obter acesso inicial e sequestrar instâncias Salesforce, empregando versões modificadas do aplicativo Data Loader e scripts Python personalizados para exfiltrar dados em larga escala.

O grupo extorsionário ShinyHunters, associado a UNC6240, tem ameaçado criar um site de vazamento de dados para aumentar a pressão sobre as vítimas. Recentemente, ShinyHunters anunciou em canal do Telegram que está "encerrando atividades" junto com Scattered Spider e LAPSUS$, embora especialistas alertem que isso pode ser temporário.

Especialistas em segurança recomendam que organizações permaneçam vigilantes, pois grupos cibercriminosos frequentemente rebrandizam e retornam sob novas identidades.