El grupo de ransomware Trinity of Chaos ha intensificado sus tácticas de doble extorsión, abriendo recientemente un Data Leak Site en la red TOR donde exhibe datos robados de 39 grandes compañías a nivel mundial. La operación se centra en la explotación de vulnerabilidades en Salesforce y servicios vinculados, buscando presionar a las víctimas para pagar el rescate bajo la amenaza de hacer pública la información.
La Campaña de Extorsión y el Foco en el Cloud
Trinity of Chaos, supuestamente asociado con grupos de alto perfil como Lapsus$, Scattered Spider y ShinyHunters, apunta directamente a la Información Personal Identificable (PII) de los clientes de las empresas.
- Vector de Ataque: Las filtraciones están directamente vinculadas a la explotación de vulnerabilidades conocidas en instancias de Salesforce, lo que subraya un cambio en el enfoque hacia la explotación de fallas en plataformas SaaS (Software como Servicio) y sus integraciones.
- Datos Comprometidos: Los datos filtrados consisten principalmente en PII y atributos de clientes. Aunque no todos los registros incluyen contraseñas, la exposición de la información personal es significativa.
- Víctimas de Alto Perfil: La lista de compañías afectadas incluye nombres importantes como Google, Cisco, Air France, Stellantis y Aeroméxico.
- Infraestructura oculta: El uso del sitio de filtración en la red TOR dificulta el rastreo de los operadores, mientras que la exposición pública de los datos sirve como una señal de fuerza para forzar el pago.
Recomendaciones
- Auditoría de Permisos de API e Integraciones
- Revisión de OAuth: Verifica y audita qué aplicaciones y servicios tienen acceso OAuth o tokens de API persistentes a tus datos de Salesforce.
- Revocación: Revoca inmediatamente tokens antiguos o aquellos que no estén en uso activo.
- Mínimo Privilegio: Limita los permisos de integración al mínimo absoluto necesario. Una aplicación de terceros no debería tener acceso de lectura/escritura amplia si solo necesita un subconjunto de datos.
- Fortalecer la Seguridad en Salesforce
- Parches y Actualizaciones: Asegúrese de que su instancia de Salesforce esté totalmente actualizada para mitigar cualquier vulnerabilidad conocida.
- MFA y Roles: Configura la Autenticación Multifactor (MFA) obligatoria para todos los usuarios. Robustecer los roles de usuario y evitar dar acceso excesivo.
- Alertas de Comportamiento: Activa alertas para actividades inusuales, como exportaciones masivas de datos, accesos desde ubicaciones geográficas extrañas o cambios de configuración.
- Monitoreo e Inteligencia de Amenazas
- Vigilancia: Monitorea activamente si tu dominio está siendo mencionado en sitios de fuga de datos o si hay dominios recién registrados vinculados a este oa otros grupos asociados (Lapsus$, Scattered Spider).
- Análisis de Impacto: Si una compañía similar a la tuya aparece en la lista de filtraciones, usa esto como un indicador de que el vector de ataque es relevante para tu sector y revisa tus sistemas por si estén comprometidos.
