▲
- Grupo hacker Scattered Lapsus$ Hunters fez exigências diretas ao Google via Telegram.
- Eles pedem demissão de dois analistas e o fim das investigações de grupos de ameaça.
- Usuários podem ser afetados por ataques de phishing e exposição de dados de contato.
- O caso evidencia o desafio de segurança enfrentado por grandes empresas de tecnologia.
Um grupo de cibercriminosos, autodenominado Scattered Lapsus$ Hunters, divulgou um comunicado via Telegram com demandas diretas ao Google. Eles exigiram que Sundar Pichai, o CEO da empresa, demitisse dois membros da equipe de segurança: Austin Larsen e Charles Carmakal. Este movimento gerou grande atenção no cenário da cibersegurança.
Além das demissões, o grupo pediu que as equipes de segurança da gigante da tecnologia parassem de investigar os grupos de ameaça UNC3944, UNC5537, UNC6040, UNC6240 e UNC6395. Todos esses nomes estão conectados a recentes ataques que miraram a Salesforce, uma plataforma de gestão de relacionamento com clientes. A ameaça era clara: caso as exigências não fossem cumpridas, eles vazariam dados da companhia.
Em outras mensagens que o grupo hacker publicou, eles brincaram com a situação. Disseram que, em vez de falar sobre dar um ultimato para o Google, poderiam focar no fato de que a empresa é “continuamente hackeada por nós”. Essa postura mostra uma confiança notável nas próprias capacidades. Eles alegam ter invadido a Google novamente por meio de uma campanha Salesloft, algo que a própria empresa já havia documentado em um artigo. De acordo com os hackers, a Google não agiu para bloquear a vulnerabilidade que permitiu o acesso à sua base de dados.
A vulnerabilidade em questão expôs informações de contato e abriu portas para campanhas de phishing. Contudo, é importante notar que ela não comprometeu contas de Gmail ou outros serviços focados no consumidor. É possível que as recentes exigências dos hackers estejam mais ligadas a uma tentativa de intimidação e de parar as investigações do que a um acesso confirmado à infraestrutura central do Google.
Ataque ao Google: O ultimato dos hackers
Uma particularidade desse incidente é a nomeação de especialistas em segurança nas mensagens dos cibercriminosos. Essa não é uma ação comum, mesmo para grupos de alto perfil. Normalmente, os hackers se concentram em extorsão financeira ou no roubo de informações confidenciais para venda no mercado clandestino. O foco em indivíduos específicos sugere uma estratégia diferente.
Pedir a demissão de analistas específicos aponta para uma tentativa calculada de enfraquecer a capacidade do Google de rastrear e combater suas operações. Tanto Austin Larsen quanto Charles Carmakal são reconhecidos por sua experiência em responder a incidentes de segurança complexos. Eles também coordenam estratégias de defesa contra ataques sofisticados, seja de governos ou de grupos financeiramente motivados.
Essa ação pode ser vista como uma manobra para desestabilizar a equipe de segurança e, assim, dificultar a resposta da empresa a futuras ameaças. O grupo busca minar a confiança interna e externa na capacidade de defesa da Google, utilizando a publicidade gerada pela demanda para amplificar seu impacto.
Entendendo a tática do vishing
Os ataques descritos pelo grupo ocorreram entre junho e setembro, e foram documentados no blog do Google Threat Intelligence. O TecMundo também acompanhou o caso de perto. Todos esses incidentes têm alguma ligação com um vazamento anterior de dados da Salesforce. As invasões também usaram o vishing, uma técnica que engana as vítimas por meio de chamadas de voz, simulando um atendimento de equipes de suporte ao cliente, por exemplo.
Em junho, hackers do grupo UNC6040, que se apresentavam como ShinyHunters, ligaram para um funcionário da Google. Eles se passaram por membros da equipe de TI e convenceram o colaborador a instalar e autorizar um aplicativo falso no Salesforce, que imitava o Data Loader. Este último é uma ferramenta para importação ou exportação em massa de dados, amplamente utilizada.
Com essa manobra, os criminosos conseguiram acesso a contatos e anotações de pequenas e médias empresas que são clientes da Google. A empresa informou que os únicos dados expostos foram informações básicas, como nomes, endereços de e-mail e outros contatos essenciais. Isso mostra a importância de sempre verificar a autenticidade de solicitações.
A cronologia dos incidentes de segurança
Em julho, outro grupo do ShinyHunters, conhecido como UNC6240, começou a usar os dados roubados no ataque anterior. Eles iniciaram uma série de ligações e e-mails de extorsão, exigindo transferências em bitcoin com um prazo de até 72 horas para o pagamento. Essa escalada nos ataques demonstrou a intenção dos cibercriminosos em monetizar o acesso obtido.
A partir de agosto, hackers do grupo UNC6395 exploraram o aplicativo Salesloft Drift. Este app é integrado ao Salesforce e é usado para converter clientes através de análise de dados. Os criminosos conseguiram roubar tokens OAuth e refresh tokens, que são chaves digitais que permitem o acesso à integração entre os aplicativos Salesforce e a base de dados da empresa.
Impacto nos dados de empresas parceiras
Com os tokens roubados, eles invadiram instâncias do Salesforce de várias empresas. Conseguiram roubar dados importantes, como registros de CRM — incluindo contatos, casos e oportunidades de negócios — e credenciais de serviços. Algumas das empresas afetadas por essa invasão foram Cloudflare, Zscaler, Palo Alto Networks e PagerDuty.
A Google ainda não se manifestou publicamente sobre as ameaças feitas pelo grupo Scattered Lapsus$ Hunters. No entanto, é provável que as ações e a coerção continuem até que a gigante da tecnologia decida se posicionar. A situação realça a constante batalha entre empresas de tecnologia e grupos cibercriminosos.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
