Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Eindämmung von Ransomware
Maritza Marie Dubec
Leitender Content-Marketing-Manager
Illumio Editorial
13Oktober 2025
23 min. lesen

Das Hauptschlüsselproblem: Im Inneren des Salesloft-Datenlecks und die anhaltende Bedrohung

Im September 2025 veröffentlichte das FBI eine Flash-Warnung, in der es darauf hinwies , dass zwei kriminelle Gruppen – UNC6395 und UNC6040 – aktiv Salesforce-Instanzen branchenübergreifend kompromittieren.

UNC6395 hat Salesloft über die Salesloft-Drift-Integration kompromittiert und dann über diese vertrauenswürdige Verbindung auf Salesforce-Daten zugegriffen. UNC6040 führt unterdessen eine Vishing-Kampagne durch, die Salesforce-Benutzer dazu verleitet, einer bösartigen verbundenen App (oft als Data Loader getarnt) zuzustimmen, um direkten Zugriff auf Salesforce-Umgebungen zu erhalten.

Die Anzahl der von UNC6395 betroffenen Organisationen Weltweit sind es mehr als 700, darunter Cybersicherheitsunternehmen wie Zscaler, Palo Alto Networks, Proofpoint, Cloudflare und Tenable.  

Unklar bleibt, wie weit sich die Kampagne von UNC6395 bereits ausgebreitet hat – oder wie viele sensible Informationen möglicherweise noch im Spiel sind.  

Wir wissen, dass gestohlene Salesforce-Daten nun für Erpressungsversuche genutzt werden. Eine Bedrohungsgruppe hat eine Webseite mit geleakten Daten eingerichtet und fordert Lösegeld von Unternehmen, deren Kundendaten online veröffentlicht wurden. Salesforce hat öffentlich erklärt, dass es keine Erpressungsforderungen erfüllen wird .

Es bleibt unklar, ob diese neuen Behauptungen von den Leak-Sites direkt auf die Aktivitäten von UNC6395 zurückzuführen sind, aber eines ist klar: Sobald die Anmeldeinformationen gestohlen wurden, können die dadurch freigeschalteten Datensätze immer wieder auftauchen.

„Seit es Passwörter und Zertifikate gab, lautete die größte Frage immer: ‚Wie verwaltet und bewahrt man die Integrität von Schlüsseln?‘“, sagte Michael Adjei, Director of Systems Engineering bei Illumio. „Dieses Problem ist nicht verschwunden – es ist in einer vernetzten Welt nur noch größer geworden.“

Wenn ein vertrauenswürdiger Schlüssel das Königreich öffnet

Die Waffe von UNC6395 waren OAuth-Token, die aus Salesloft- Integrationen (einer Vertriebs-Engagement-Plattform, die Anrufe, E-Mails und Chats mit Salesforce synchronisiert) gestohlen wurden – insbesondere über die Drift -Chatbot-Verbindung.

Mithilfe dieser Token erlangten die Angreifer einen vertrauenswürdigen API-Zugriff auf Salesforce und andere verbundene Umgebungen, um unbemerkt Daten abzufragen, Kontakte, Fälle und sogar Anmeldeinformationen wie AWS-Schlüssel, VPN-Geheimnisse und Snowflake-Token zu exfiltrieren.

Google rät nun dazu, alle von Drift ausgegebenen Token als kompromittiert zu betrachten.

Der Perimeter ist nicht mehr Ihre Firewall

Wenn eine Integration das Schloss und ein OAuth-Token der Schlüssel ist, was passiert, wenn dieser Schlüssel in die falschen Hände gerät?

Moderne Unternehmen sind auf eng vernetzte Systeme angewiesen. Wenn eine Integration verletzt wird, können andere schnell aufgedeckt werden.

Ein einziger Angriff auf eine CRM-Verbindung kann Kundendaten, Supportfälle oder in Produktivitätstools gespeicherte Dateien offenlegen. In Notizen oder Tickets hinterlassene Anmeldeinformationen und API-Schlüssel können dann den Zugriff auf Cloud-Umgebungen öffnen.

Die meisten Enterprise-Stacks verknüpfen CRMs, Engagement-Plattformen, Chat-Tools und Cloud-Speicher. Jede Verbindung verbessert die Effizienz – erweitert aber auch den Weg, den ein Angreifer nehmen kann.

Sobald ein Token gestohlen wurde, wird der Angreifer effektiv zur legitimen Integration und umgeht MFA, Prüfprotokolle und Kennwortzurücksetzungen vollständig.

Warum OAuth-Token Gold wert sind

OAuth-Token gewähren delegierten Zugriff – und zwar per Design. Doch genau dieses Konzept hat auch eine Schwachstelle: Wenn Vertrauen einmal geschenkt wurde, wird es nur selten widerrufen.

„Langlebige Token überdauern oft Mitarbeiter, Lieferanten oder sogar die Tools, mit denen sie erstellt wurden, und lassen systemübergreifend ungesehene Türen offen“, sagte Adjei.

API-Aufrufe, die normal aussehen

Malware ist laut; API-Aufrufe sind leise.

Bei diesem Sicherheitsvorfall agierten die Angreifer unauffällig, indem sie SOQL- und Bulk-API-Abfragen ausführten, die legitime Operationen imitierten.

„APIs sind wie ein Auto mit getönten Scheiben – die Leute gehen davon aus, dass Sie selbst darin sitzen“, sagte Adjei. „Der einzige Weg, es herauszufinden, ist, die Tür zu öffnen.“

Da diese Anfragen aus gültigen Integrationen stammten, behandelte das System sie als harmlos. Dies erschwert die Erkennung: Die Aktionen des Angreifers gehen in die normale Geschäftstätigkeit über.

„Viele Organisationen kennen nicht einmal alle verwendeten Anwendungen und Integrationen“, fügte Adjei hinzu. „Token wurden möglicherweise vor Jahren eingerichtet und nie rotiert. Diese Kombination aus Schatten-IT und langlebigem Zugriff bedeutet, dass die Gefährdung monatelang anhalten kann.“

Von SolarWinds zu Salesloft

Anders als bei SolarWinds, wo Angreifer Schadcode in ein Software-Update einschleusten, musste UNC6395 keine einzige Zeile Schadsoftware schreiben. Stattdessen haben sie das Vertrauen selbst ausgenutzt.

„SolarWinds war ein Erwachen“, sagte Adjei. „Es hat bewiesen, wie effektiv es ist, das schwächste Glied in der Kette anzuvisieren: einen hochintegrierten Anbieter. Wenn Sie das gefährden, erhalten Sie Zugriff auf viele Organisationen gleichzeitig.“

Dieser Wechsel von codebasierten Supply-Chain-Angriffen wie bei SolarWinds zu tokenbasierten Angriffen signalisiert einen Paradigmenwechsel: Sie müssen nicht mehr mit Malware eindringen, wenn die Schlüssel bereits vorhanden sind.

Wer steckt hinter dem Verstoß?

Die Analyse der Bedrohungsinformationen lässt den ersten Zugriff auf UNC6395 auf finanziell motivierte Cyberkriminelle zurückführen.  Obwohl einige die Überschneidungen der Gruppe mit dem Fokus von ShinyHuntersauf Salesforce bemerkt haben, konnte keine bestätigte Beziehung zwischen UNC6395 und ShinyHunters hergestellt werden.

ShinyHunters ist ein breiter aufgestelltes Datenbroker- und Cyberkriminalitätskollektiv, das sich mit den Kampagnen von UNC6395 überschneiden oder von ihnen profitieren könnte, die Zuordnung ist jedoch noch nicht geklärt.

Nun behauptet Scattered Lapsus$ Hunters , dass sie bald damit beginnen werden, Hunderte weitere Organisationen zu erpressen, die ihrer Aussage nach Daten von Salesloft verloren haben. Salesforce hat betont, dass der Diebstahl von Salesloft-Daten Dritter, die angeblich von ShinyHunters gestohlen wurden, nicht auf eine Schwachstelle in der Salesforce-Kernplattform zurückzuführen ist.

So reduzieren Sie den Explosionsradius

Schließlich ist ein Kompromiss nicht länger eine Frage des „Vielleicht“ – es geht vielmehr darum, wie weit ein Angreifer gehen kann.

„Sichtbarkeit und Kontext ermöglichen es Ihnen, Verhaltensänderungen zu erkennen – plötzliche große Datenübertragungen, Anomalien, übermäßigen Zugriff“, sagte Adjei. „Aber Sichtbarkeit ist nur dann wertvoll, wenn man danach handelt.“

So verringern Sie die Auswirkungen eines verlorenen Schlüssels:

  • Erzwingen Sie das Prinzip der geringsten Privilegien. Geben Sie niemals größere Spielräume als nötig an.
  • Rotieren und widerrufen Sie Token regelmäßig.
  • Überprüfen Sie jede verbundene App, jede Integration.
  • Setzen Sie eine kontinuierliche Überwachung ein, die auf anormalen API-Verkehr und ungewöhnliche Token-Nutzung abgestimmt ist.

Wie Illumio Insights helfen kann

Angreifer wie UNC6395 brauchten keine Malware, um Hunderte von Organisationen zu infiltrieren – sie folgten einfach den unsichtbaren Pfaden des Vertrauens. Illumio Insights beleuchtet diese Wege.  

Durch die Abbildung der System-zu-System-Kommunikation in Ihrer Umgebung kann Insights aufzeigen, welche Anwendungen wie oft miteinander kommunizieren und wann etwas nicht in Ordnung zu sein scheint. Wenn ein kompromittiertes OAuth-Token beginnt, Daten auf unerwartete Weise zu verschieben, hilft Insights den Teams, dies zu erkennen und einzudämmen, bevor es sich verbreiten kann.

Zu den wichtigsten Funktionen gehören:

  • Erkennung lateraler Bewegungen: Einblick in die System-zu-System-Kommunikation ist unerlässlich, um Angreifer aufzudecken, die sich innerhalb von Umgebungen bewegen.
  • Erkennung verhaltensbasierter Bedrohungen: Analysen, die die anormale Verwendung nativer Tools identifizieren, helfen dabei, Aktivitäten aufzudecken, die in den normalen Betrieb übergehen.  
  • Priorisierung von Warnungen: Das Herausfiltern von Routineverhalten und das Hervorheben verdächtiger Muster ist entscheidend, wenn Angreifer vertrauenswürdige Prozesse verwenden.  
  • Schnelle Eindämmung: Die Fähigkeit, kompromittierte Assets schnell zu isolieren – ohne auf Malware-Signaturen warten zu müssen – kann eine Bedrohung stoppen, bevor sie sich ausbreiten kann.

In einer Welt, in der Sicherheitsverletzungen eher Vertrauen als Code ausnutzen, bietet Illumio Insights die Transparenz und sofortige Kontrolle, die Verteidiger in Echtzeit benötigen.

Der Salesloft-Einbruch lehrt uns, dass Angreifer nicht die Mauern Ihrer Burg sprengen müssen – sie brauchen nur einen funktionierenden Schlüssel.  

Wenn Schlüssel verfügbar sind, hängt Ihre Sicherheitslage davon ab, wer sie besitzt und wie schnell Sie sie stoppen können.

Entdecken Sie, wie Illumio Insights Bedrohungen erkennt und stoppt, bevor sie sich verbreiten. Erleben Sie die volle Kraft von Illumio Insights 14 Tage kostenlos.

Verwandte Themen

Eindämmung von Ransomware

Verwandte Artikel

Kubernetes ist nicht immun gegen Ransomware – und wie Illumio helfen kann
Eindämmung von Ransomware

Kubernetes ist nicht immun gegen Ransomware – und wie Illumio helfen kann

Erfahren Sie, warum Ransomware ein sehr reales Cybersicherheitsrisiko in Kubernetes ist, das DevSecOps-Architekten nicht ignorieren können.

Mehr lesen
Entmystifizierung von Ransomware-Techniken mit .NET-Assemblies: Ein mehrstufiger Angriff
Eindämmung von Ransomware

Entmystifizierung von Ransomware-Techniken mit .NET-Assemblies: Ein mehrstufiger Angriff

Lernen Sie die Grundlagen eines mehrstufigen Payload-Angriffs mit einer Reihe von gestaffelten Payloads kennen.

Mehr lesen
3 Schritte, um die Verbreitung von Ransomware zu stoppen
Eindämmung von Ransomware

3 Schritte, um die Verbreitung von Ransomware zu stoppen

Erfahren Sie, wie Sie die Ausbreitung von Ransomware verhindern können, indem Sie Verbindungen einschränken, die Transparenz erhöhen und die Reaktionszeit verbessern.

Mehr lesen
Zwei Verstöße, eine Bank: Lehren aus der ICBC-Cyberkrise
Cyber-Resilienz

Zwei Verstöße, eine Bank: Lehren aus der ICBC-Cyberkrise

Erfahren Sie wichtige Lehren aus der ICBC-Cyberkrise, bei der zwei große Sicherheitsverletzungen – Ransomware in den USA und ein Datendiebstahl in London – systemische Schwachstellen im globalen Banking aufdeckten.

Mehr lesen
Modernes Trojanisches Pferd: Wie Angreifer vom Land leben und wie man sie stoppt
Eindämmung von Ransomware

Modernes Trojanisches Pferd: Wie Angreifer vom Land leben und wie man sie stoppt

Erfahren Sie, wie Angreifer mit vertrauenswürdigen Tools wie PowerShell und SSH "vom Land leben" und wie Sie LOTL-Bedrohungen mit Transparenz und Eindämmung stoppen können.

Mehr lesen
Warum Medusa Ransomware eine wachsende Bedrohung für kritische Infrastrukturen darstellt
Eindämmung von Ransomware

Warum Medusa Ransomware eine wachsende Bedrohung für kritische Infrastrukturen darstellt

Erfahren Sie, wie Medusa Ransomware funktioniert und warum sie für kritische Infrastrukturen weltweit so gefährlich ist.

Mehr lesen

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren