Uma campanha contínua de extorsão de dados contra clientes do Salesforce, atribuída ao coletivo ShinyHunters (UNC6040), dá sinais de que pode avançar sobre bancos, seguradoras e fintechs nas próximas semanas, segundo analistas. O movimento ocorre após uma sequência de incidentes que atingiram marcas globais, até o Google, por meio de vishing e apps conectados maliciosos no CRM, elevando o risco operacional e reputacional para o setor financeiro.
O que já sabemos
A Infosecurity Magazine reporta que a campanha de extorsão, operada pelo ShinyHunters, está “em andamento” contra usuários do Salesforce e pode mirar instituições financeiras na sequência, dada a atratividade dos dados e o potencial de monetização por pressão pública em canais de vazamento.
Na trilha técnica, o Google Threat Intelligence Group (GTIG) descreve a tática central: engenharia social por voz (vishing) para se passar por suporte de TI, persuadindo usuários a autorizar um app conectado malicioso (muitas vezes um Data Loader modificado) no Salesforce. Com o OAuth concedido, os criminosos exportam grandes volumes de dados de contato e notas de relacionamento, usando-os depois para extorsão.
A campanha já rende vítimas notórias. O Google confirmou que uma instância corporativa do seu Salesforce foi acessada e que houve exfiltração em uma janela curta de tempo, ainda que, neste caso, os dados fossem “majoritariamente básicos”, como nomes e contatos de clientes SMB. O episódio reforça a eficácia da abordagem, mesmo sem exploração técnica sofisticada.
Outras organizações relatadas como afetadas incluem Cisco, Qantas, Allianz Life, Adidas, Victoria’s Secret, Chanel e marcas da LVMH, um recorte que evidencia tanto o alcance setorial quanto o foco em companhias com CRM crítico para a operação.
Por que isso importa para bancos, seguradoras e fintechs
O setor financeiro concentra dados de alto valor (KYC, perfis de risco, histórico de relacionamento, pipelines de produtos) e processos regulados, nos quais o CRM é peça central para originação, atendimento e compliance. O acesso indevido a registros de contato, anotações comerciais e integrações pode habilitar fraudes, engenharia social subsequente, movimentos laterais para outros ambientes em nuvem e, sobretudo, extorsão com ameaça de vazamento público. A Infosecurity aponta essa probabilidade crescente de a campanha mirar serviços financeiros como próximo passo.
No pano de fundo, o ciclo de 2024–2025 mostra uma mudança de alvos conforme a superfície de ataque corporativa evolui: em 2024, Snowflake; em 2025, Salesforce. A mensagem para a alta liderança é direta: os criminosos seguem os dados e os fluxos de negócio, não apenas CVEs.
Além do vetor técnico, há o teatro da pressão pública. Investigação do GovInfoSecurity descreve a abertura de um canal no Telegram por atores vinculados a ShinyHunters/Scattered Spider, com nomeação de novas vítimas e vazamentos parciais, inclusive sinalizando ambições de “ransomware-as-a-service”. Para instituições reguladas, o dano reputacional e a obrigação de reporte podem amplificar o custo do incidente.
Como o ataque acontece
- Contato por voz (vishing): operadores se passam por help desk e pedem colaboração “urgente” para resolver suposto erro no Salesforce.
- Indução ao consentimento: a vítima é levada a autorizar um app conectado (ex.: “Data Loader”) fora da política, concedendo escopos de leitura/exportação.
- Exfiltração: com o OAuth válido, os atacantes extraem bases (contatos, contas, oportunidades, notas). Em alguns casos, o acesso dura minutos a horas, o suficiente para copiar o que interessa.
- Extorsão: dados e “amostras” são apresentados em canais públicos para pressionar o pagamento, com promessas de vazamento integral caso a empresa não ceda.
Casos que acenderam o alerta
- Google: confirmou acesso indevido ao seu Salesforce e exfiltração limitada a dados “majoritariamente básicos”; reforçou que o vetor foi engenharia social.
- Cisco: registrou campanha de vishing mirando representante da empresa e alertou sobre o impacto em CRM de terceiros.
- Marcas globais (Adidas, Chanel, LVMH, Allianz, Qantas): ligações com a mesma tática de OAuth + Data Loader modificado e exposição de dados de clientes.
O que os CIOs e CISOs do financeiro devem fazer agora
- Travar “Connected Apps”: habilitar allowlist rigorosa, bloquear auto-aprovação e exigir revisão de escopos por segurança/GRC. (Salesforce publicou guia específico contra engenharia social).
- Privilégio mínimo e “API Enabled” sob controle: limitar perfis com acesso a Data Loader e a exportações em massa; ativar MFA forte e verificação por chamada reversa para solicitações atípicas.
- Telemetria e detecção: usar Salesforce Shield/Transaction Security (ou equivalentes) para flagrar downloads volumosos, novos apps e logins fora de política.
- Treinamento de vishing: rodar simulações por voz, com roteiros de negação padrão (“não autorizamos apps por telefone”) e via dupla de confirmação com o time de segurança.
- Resposta a incidentes: plano para revogar tokens OAuth, rotacionar credenciais, notificar reguladores/clientes quando cabível e preservar evidências para ações legais.
Tendência e próximos passos
A campanha do ShinyHunters demonstra que processos de negócio (suporte, CRM, atendimento) são, hoje, o perímetro real. Com a cadeia de valor financeira profundamente apoiada em Salesforce e integrações adjacentes, a probabilidade de escalada para bancos e seguradoras é alta, e o tempo de reação passa a ser um diferencial competitivo, e regulatório. A orientação, no curto prazo, é executar endurecimento imediato no Salesforce e blindar o fator humano antes que a pressão pública por vazamentos torne a crise inevitável.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!
