Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Eindämmung von Ransomware
Maritza Marie Dubec
Leitender Content-Marketing-Manager
Illumio Editorial
13Oktober 2025
23 min. lesen

Das Hauptschlüsselproblem: Im Inneren des Salesloft-Datenlecks und die anhaltende Bedrohung

Im September 2025 veröffentlichte das FBI eine Flash-Warnung, in der es davor warnte , dass zwei kriminelle Gruppen – UNC6395 und UNC6040 – aktiv Salesforce-Instanzen branchenübergreifend kompromittieren.

UNC6395 hat Salesloft über die Salesloft-Drift-Integration kompromittiert und dann über diese vertrauenswürdige Verbindung auf Salesforce-Daten zugegriffen. UNC6040 führt unterdessen eine Vishing-Kampagne durch, die Salesforce-Benutzer dazu verleitet, einer bösartigen verbundenen App (oft als Data Loader getarnt) zuzustimmen, um direkten Zugriff auf Salesforce-Umgebungen zu erhalten.

Die Anzahl der von UNC6395 betroffenen Organisationen Weltweit gibt es mehr als 700, darunter Cybersicherheitsunternehmen wie Zscaler, Palo Alto Networks, Proofpoint, Cloudflare und Tenable.  

Unklar bleibt, wie weit sich die Kampagne von UNC6395 ausgebreitet hat – und wie viele sensible Informationen möglicherweise noch im Spiel sind.  

Wir wissen, dass gestohlene Salesforce-Daten nun Erpressungsversuchen Vorschub leisten. Eine Bedrohungsgruppe hat eine Website für Datenlecks eingerichtet, auf der sie Lösegeld von Unternehmen fordert, deren Kundendaten online veröffentlicht wurden. Salesforce hat öffentlich erklärt, dass es Erpressungsforderungen nicht nachkommen wird .

Es bleibt unklar, ob diese neuen Behauptungen von den Leak-Sites direkt auf die Aktivitäten von UNC6395 zurückzuführen sind, aber eines ist klar: Sobald die Anmeldeinformationen gestohlen wurden, können die dadurch freigeschalteten Datensätze immer wieder auftauchen.

„Seit es Passwörter und Zertifikate gab, lautete die größte Frage immer: ‚Wie verwaltet und bewahrt man die Integrität von Schlüsseln?‘“, sagte Michael Adjei, Director of Systems Engineering bei Illumio. „Dieses Problem ist nicht verschwunden – es ist in einer vernetzten Welt nur noch größer geworden.“

Wenn ein vertrauenswürdiger Schlüssel das Königreich öffnet

Die Waffe von UNC6395 waren OAuth-Token, die aus Salesloft- Integrationen (einer Vertriebsplattform, die Anrufe, E-Mails und Chats mit Salesforce synchronisiert) gestohlen wurden – insbesondere über die Drift -Chatbot-Verbindung.

Mit diesen Token verschafften sich Angreifer vertrauenswürdigen Zugriff auf API-Ebene auf Salesforce und andere verknüpfte Umgebungen, indem sie unbemerkt Daten abfragten und Kontakte, Fälle und sogar Anmeldeinformationen wie AWS-Schlüssel, VPN-Geheimnisse und Snowflake-Token exfiltrierten.

Google empfiehlt nun, alle von Drift ausgegebenen Token als kompromittiert zu behandeln.

Der Perimeter ist nicht mehr Ihre Firewall

Wenn eine Integration das Schloss und ein OAuth-Token der Schlüssel ist, was passiert, wenn dieser Schlüssel in die falschen Hände gerät?

Moderne Unternehmen sind auf eng vernetzte Systeme angewiesen. Wenn eine Integration verletzt wird, können andere schnell aufgedeckt werden.

Ein einziger Angriff auf eine CRM-Verbindung kann Kundendaten, Supportfälle oder in Produktivitätstools gespeicherte Dateien offenlegen. In Notizen oder Tickets hinterlassene Anmeldeinformationen und API-Schlüssel können dann den Zugriff auf Cloud-Umgebungen öffnen.

Die meisten Enterprise-Stacks verknüpfen CRMs, Engagement-Plattformen, Chat-Tools und Cloud-Speicher. Jede Verbindung verbessert die Effizienz – erweitert aber auch den Weg, den ein Angreifer nehmen kann.

Sobald ein Token gestohlen wurde, wird der Angreifer effektiv zur legitimen Integration und umgeht MFA, Prüfprotokolle und Kennwortzurücksetzungen vollständig.

Warum OAuth-Token Gold wert sind

OAuth-Token gewähren delegierten Zugriff – und zwar per Design. Doch genau dieses Konzept hat auch eine Schwachstelle: Wenn Vertrauen einmal geschenkt wurde, wird es nur selten widerrufen.

„Langlebige Token überdauern oft Mitarbeiter, Lieferanten oder sogar die Tools, mit denen sie erstellt wurden, und lassen systemübergreifend ungesehene Türen offen“, sagte Adjei.

API-Aufrufe, die normal aussehen

Malware ist laut; API-Aufrufe sind leise.

Bei diesem Verstoß versteckten sich die Angreifer vor aller Augen und führten SOQL- und Bulk-API-Abfragen aus, die legitime Vorgänge nachahmten.

„APIs sind wie ein Auto mit getönten Scheiben – die Leute gehen davon aus, dass Sie selbst darin sitzen“, sagte Adjei. „Der einzige Weg, es herauszufinden, ist, die Tür zu öffnen.“

Da diese Anfragen aus gültigen Integrationen stammten, behandelte das System sie als harmlos. Dies erschwert die Erkennung: Die Aktionen des Angreifers gehen in die normale Geschäftstätigkeit über.

„Viele Organisationen kennen nicht einmal alle verwendeten Anwendungen und Integrationen“, fügte Adjei hinzu. „Token wurden möglicherweise vor Jahren eingerichtet und nie rotiert. Diese Kombination aus Schatten-IT und langlebigem Zugriff bedeutet, dass die Gefährdung monatelang anhalten kann.“

Von SolarWinds zu Salesloft

Anders als bei SolarWinds, wo Angreifer Schadcode in ein Software-Update einschleusten, musste UNC6395 keine einzige Zeile Schadsoftware schreiben. Stattdessen haben sie das Vertrauen selbst ausgenutzt.

„SolarWinds war ein Erwachen“, sagte Adjei. „Es hat bewiesen, wie effektiv es ist, das schwächste Glied in der Kette anzuvisieren: einen hochintegrierten Anbieter. Wenn Sie das gefährden, erhalten Sie Zugriff auf viele Organisationen gleichzeitig.“

Dieser Wechsel von codebasierten Supply-Chain-Angriffen wie bei SolarWinds zu tokenbasierten Angriffen signalisiert einen Paradigmenwechsel: Sie müssen nicht mehr mit Malware eindringen, wenn die Schlüssel bereits vorhanden sind.

Wer steckt hinter dem Verstoß?

Die Threat-Intelligence-Analyse verfolgt den ersten Zugriff auf UNC6395 – finanziell motivierte Cyberkriminelle.  Während einige die Überschneidungen der Gruppe mit dem Fokus von ShinyHuntersauf Salesforce bemerkt haben, wurde keine bestätigte Beziehung zwischen UNC6395 und ShinyHunters festgestellt.

ShinyHunters ist ein breiter aufgestelltes Datenhändler- und Cybercrime-Kollektiv, das möglicherweise mit den Kampagnen von UNC6395 in Verbindung steht oder von ihnen profitiert, die Zuordnung ist jedoch nicht geklärt.

Jetzt behauptet Scattered Lapsus$ Hunters , dass sie bald damit beginnen werden, Hunderte weitere Organisationen zu erpressen, die ihrer Aussage nach Daten von Salesloft verloren haben. Salesforce hat betont, dass der Diebstahl der angeblich von ShinyHunters gestohlenen Salesloft-Daten von Drittanbietern nicht auf eine Sicherheitslücke in der Salesforce-Kernplattform zurückzuführen sei.

So reduzieren Sie den Explosionsradius

Schließlich ist ein Kompromiss nicht länger eine Frage des „Vielleicht“ – es geht vielmehr darum, wie weit ein Angreifer gehen kann.

„Sichtbarkeit und Kontext ermöglichen es Ihnen, Verhaltensänderungen zu erkennen – plötzliche große Datenübertragungen, Anomalien, übermäßigen Zugriff“, sagte Adjei. „Aber Sichtbarkeit ist nur dann wertvoll, wenn man danach handelt.“

So verringern Sie die Auswirkungen eines verlorenen Schlüssels:

  • Erzwingen Sie das Prinzip der geringsten Privilegien. Geben Sie niemals größere Spielräume als nötig an.
  • Rotieren und widerrufen Sie Token regelmäßig.
  • Überprüfen Sie jede verbundene App, jede Integration.
  • Setzen Sie eine kontinuierliche Überwachung ein, die auf anormalen API-Verkehr und ungewöhnliche Token-Nutzung abgestimmt ist.

Wie Illumio Insights helfen kann

Angreifer wie UNC6395 brauchten keine Malware, um Hunderte von Organisationen zu infiltrieren – sie folgten einfach den unsichtbaren Pfaden des Vertrauens. Illumio Insights beleuchtet diese Wege.  

Durch die Abbildung der System-zu-System-Kommunikation in Ihrer Umgebung kann Insights aufzeigen, welche Anwendungen wie oft miteinander kommunizieren und wann etwas nicht in Ordnung zu sein scheint. Wenn ein kompromittiertes OAuth-Token beginnt, Daten auf unerwartete Weise zu verschieben, hilft Insights den Teams, dies zu erkennen und einzudämmen, bevor es sich verbreiten kann.

Zu den wichtigsten Funktionen gehören:

  • Erkennung lateraler Bewegungen: Einblick in die System-zu-System-Kommunikation ist unerlässlich, um Angreifer aufzudecken, die sich innerhalb von Umgebungen bewegen.
  • Erkennung verhaltensbasierter Bedrohungen: Analysen, die die anormale Verwendung nativer Tools identifizieren, helfen dabei, Aktivitäten aufzudecken, die in den normalen Betrieb übergehen.  
  • Priorisierung von Warnungen: Das Herausfiltern von Routineverhalten und das Hervorheben verdächtiger Muster ist entscheidend, wenn Angreifer vertrauenswürdige Prozesse verwenden.  
  • Schnelle Eindämmung: Die Fähigkeit, kompromittierte Assets schnell zu isolieren – ohne auf Malware-Signaturen warten zu müssen – kann eine Bedrohung stoppen, bevor sie sich ausbreiten kann.

In einer Welt, in der Sicherheitsverletzungen eher Vertrauen als Code ausnutzen, bietet Illumio Insights die Transparenz und sofortige Kontrolle, die Verteidiger in Echtzeit benötigen.

Der Salesloft-Einbruch lehrt uns, dass Angreifer nicht die Mauern Ihrer Burg sprengen müssen – sie brauchen nur einen funktionierenden Schlüssel.  

Wenn Schlüssel verfügbar sind, hängt Ihre Sicherheitslage davon ab, wer sie besitzt und wie schnell Sie sie stoppen können.

Entdecken Sie, wie Illumio Insights Bedrohungen erkennt und stoppt, bevor sie sich verbreiten. Erleben Sie die volle Kraft von Illumio Insights 14 Tage kostenlos.

Verwandte Themen

Eindämmung von Ransomware

Verwandte Artikel

3 Schritte, um die Verbreitung von Ransomware zu stoppen
Eindämmung von Ransomware

3 Schritte, um die Verbreitung von Ransomware zu stoppen

Erfahren Sie, wie Sie die Ausbreitung von Ransomware verhindern können, indem Sie Verbindungen einschränken, die Transparenz erhöhen und die Reaktionszeit verbessern.

Mehr lesen
Konzentrieren Sie sich wieder auf Ransomware: 3 Wahrheiten für den Aufbau eines Ransomware-fähigen Netzwerks
Eindämmung von Ransomware

Konzentrieren Sie sich wieder auf Ransomware: 3 Wahrheiten für den Aufbau eines Ransomware-fähigen Netzwerks

Erhalten Sie Einblicke in den Aufbau von Netzwerken, die gegen die Ausbreitung von Ransomware-Angriffen sicher sind.

Mehr lesen
3 Schritte zur Reduzierung des Ransomware-Risikos mit dem neuen Ransomware Protection Dashboard von illumio
Eindämmung von Ransomware

3 Schritte zur Reduzierung des Ransomware-Risikos mit dem neuen Ransomware Protection Dashboard von illumio

Erfahren Sie, wie das Ransomware Protection Dashboard und die verbesserte Benutzeroberfläche (UI) von Illumio Ihnen einen wichtigen Einblick in das Ransomware-Risiko geben.

Mehr lesen
Zwei Verstöße, eine Bank: Lehren aus der ICBC-Cyberkrise
Cyber-Resilienz

Zwei Verstöße, eine Bank: Lehren aus der ICBC-Cyberkrise

Erfahren Sie wichtige Lehren aus der ICBC-Cyberkrise, bei der zwei große Sicherheitsverletzungen – Ransomware in den USA und ein Datendiebstahl in London – systemische Schwachstellen im globalen Banking aufdeckten.

Mehr lesen
Modernes Trojanisches Pferd: Wie Angreifer vom Land leben und wie man sie stoppt
Eindämmung von Ransomware

Modernes Trojanisches Pferd: Wie Angreifer vom Land leben und wie man sie stoppt

Erfahren Sie, wie Angreifer mit vertrauenswürdigen Tools wie PowerShell und SSH "vom Land leben" und wie Sie LOTL-Bedrohungen mit Transparenz und Eindämmung stoppen können.

Mehr lesen
Warum Medusa Ransomware eine wachsende Bedrohung für kritische Infrastrukturen darstellt
Eindämmung von Ransomware

Warum Medusa Ransomware eine wachsende Bedrohung für kritische Infrastrukturen darstellt

Erfahren Sie, wie Medusa Ransomware funktioniert und warum sie für kritische Infrastrukturen weltweit so gefährlich ist.

Mehr lesen

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren