Indice dei contenuti
- Un attacco sofisticato colpisce Europa e Stati Uniti
- L’inganno parte da una chiamata
- Dati rubati e movimenti laterali nella rete
- Nessuna colpa per Salesforce, ma cresce la tensione
- La minaccia UNC6040: cosa sapere
Un attacco sofisticato colpisce Europa e Stati Uniti
Il Threat Intelligence Group di Google lancia l’allarme: il gruppo hacker UNC6040 ha messo a segno un attacco informatico avanzato, inducendo dipendenti di aziende in Europa e USA a scaricare una versione modificata dell’app Salesforce, camuffata da strumento ufficiale di gestione dati.
L’obiettivo? Rubare dati sensibili, penetrare le reti aziendali e diffondere l’attacco ad altri servizi cloud.
L’inganno parte da una chiamata
Il meccanismo è tanto semplice quanto efficace. I dipendenti ricevono una chiamata vocale ingannevole che li indirizza a una pagina falsa di configurazione Salesforce.
Qui vengono convinti ad autorizzare il download di una finta app chiamata Data Loader, realizzata dai cybercriminali. Una volta installata, l’app consente agli hacker di interrogare, accedere ed estrarre dati direttamente dagli ambienti Salesforce delle aziende colpite.
Dati rubati e movimenti laterali nella rete
Secondo Google, oltre 20 organizzazioni sono già finite nel mirino della campagna UNC6040. In alcuni casi, i dati sono stati esfiltrati con successo.
Ma il pericolo non si ferma qui: il primo accesso apre le porte a movimenti laterali nella rete aziendale, rendendo vulnerabili altri sistemi cloud e infrastrutture IT interne.
Nessuna colpa per Salesforce, ma cresce la tensione
Salesforce, nel frattempo, si difende: “Nessuna vulnerabilità nota della nostra piattaforma è stata sfruttata”, precisa un portavoce, evitando però di quantificare i clienti compromessi.
La notizia arriva proprio mentre l’azienda è sotto i riflettori per l’acquisizione di Informatica, piattaforma basata su intelligenza artificiale, per 8 miliardi di dollari.
La minaccia UNC6040: cosa sapere
Secondo gli esperti di Google, il gruppo UNC6040 è particolarmente abile nell’ingegneria sociale.
Non si tratta quindi di malware diffuso a tappeto, ma di una strategia mirata e personalizzata, che sfrutta la fiducia dei dipendenti nelle piattaforme aziendali per ottenere l’accesso dall’interno.
Domande e risposte
- Cos’è UNC6040?
È un gruppo di hacker avanzati che usa ingegneria sociale per colpire aziende tramite strumenti manipolati come l’app Salesforce. - Qual è il metodo usato?
Chiamate vocali false che indirizzano a pagine contraffatte per installare una versione truccata dell’app Data Loader di Salesforce. - L’app Salesforce è compromessa?
No, il problema non è nella piattaforma ufficiale ma nella diffusione di versioni fasulle. - Chi è a rischio?
Aziende europee e statunitensi, in particolare quelle che usano Salesforce per la gestione dati e servizi cloud. - Cosa succede dopo l’installazione dell’app modificata?
Gli hacker ottengono accesso ai dati, li esfiltrano e si muovono lateralmente nella rete aziendale. - Salesforce ha risposto?
Sì, ha confermato che non ci sono falle nella sua piattaforma e non ha rilasciato numeri ufficiali di aziende colpite. - Quante aziende sono state colpite?
Almeno 20, secondo Google, con casi confermati di furto dati. - Perché è così difficile difendersi?
Perché l’attacco si basa su fiducia e inganno diretto verso i dipendenti, non su vulnerabilità tecniche immediate. - Quali sono i rischi maggiori?
Perdita di dati sensibili, accesso ad altri servizi cloud, blocco operativo o estorsioni. - Come proteggersi?
Formazione continua del personale, autenticazioni multi-fattore e blocco delle app non autorizzate.
