Uma campanha de extorsão de dados em andamento direcionada aos clientes da Salesforce pode em breve voltar sua atenção para empresas de serviços financeiros, alertaram especialistas em segurança.
O notório grupo ShinyHunters foi responsabilizado por uma série de violações de dados que afetam grandes nomes da moda (LVMH, Chanel, Pandora,Adidas) e aviação (Qantas, Air France-KLM). Essas vítimas geralmente são alvo de vishing para logins em suas contas do Salesforce e, às vezes, também são induzidas a baixar um aplicativo malicioso para fins semelhantes.
No entanto, a ReliaQuest disse hoje que sua análise dos nomes de domínio de phishing usados nos ataques do grupo aponta para uma mudança nos alvos.
“Desde julho de 2025, os registros de domínio direcionados a empresas financeiras aumentaram 12%, enquanto o direcionamento a empresas de tecnologia diminuiu 5%”, disse a empresa de inteligência de ameaças.
“Essa mudança sugere que grupos com motivação financeira como a ShinyHunters agora estão priorizando bancos, seguradoras e serviços financeiros, embora a tecnologia e os serviços profissionais permaneçam em alto risco devido ao valor dos dados e do acesso que fornecem.”
Cerca de 700 desses domínios foram registrados em 2025, indicando a escala da campanha.
ShinyHunters e Scattered Spider são iguais?
Além disso, muitos, como “empresa-okta[.]com” e “nomedaempresa-minha-salesforce”[.]com” correspondem ao mesmo formato usado pelo infame coletivo Scattered Spider, disse ReliaQuest. Muitos também compartilham os mesmos detalhes do registro, sugerindo que os grupos estão conectados.
A teoria é apoiada pela aparição no ano passado no BreachForums de um usuário que se autodenomina “Sp1d3rhunters”, que teria afirmado que os dois grupos “são os mesmos”.
Ambos têm laços com um movimento nebuloso apelidado de “O“, que é caracterizada por adolescentes e jovens adultos que falam inglês, geralmente do sexo masculino, que também se desviaram para a violência de aluguel, sextorsão e abuso infantil online.
A chave para as equipes de segurança corporativa que desejam evitar se tornar a próxima vítima é se concentrar em táticas, técnicas e procedimentos (TTPs), em vez de qual grupo pode estar atacando, disse ReliaQuest.
“Os agentes de ameaças alternam constantemente a infraestrutura, mudam de nome e adaptam seus TTPs para evitar a detecção e maximizar o impacto. Como resultado, rastrear os padrões comportamentais e os TTPs em evolução por trás dessas campanhas é muito mais valioso do que focar apenas em indicadores de comprometimento (IOCs) ou atribuição”, argumentou.
“Para os líderes de segurança, entender esse cenário de ameaças fluido e persistente é fundamental para antecipar ataques futuros e tomar decisões informadas sobre estratégia de segurança e alocação de recursos.”