Nova pesquisa: Relatório Global de Detecção e Resposta de Nuvens de 2025. Veja onde a D&R está falhando.
Obtenha o relatório

Sofreu uma violação de dados?

|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Contenção de ransomware
Maritza Marie Dubec
Gerente sênior de marketing de conteúdo
Illumio Editorial
Outubro 13, 2025
23 minutos. ler

O Problema da Chave Mestra: Por Dentro da Violação do Salesloft e da Ameaça Contínua

Em setembro de 2025, o FBI lançou um alerta Flash alertando que dois grupos criminosos — UNC6395 e UNC6040 — estavam comprometendo ativamente instâncias do Salesforce em vários setores.

O UNC6395 violou o Salesloft, uma ferramenta de engajamento de vendas profundamente vinculada ao Salesforce, e então passou por essa conexão confiável para acessar dados do Salesforce. Enquanto isso, o UNC6040 executa uma campanha separada baseada em vishing direcionada diretamente aos usuários do Salesforce.

A campanha UNC6395 oferece um aviso claro: os invasores não precisam mais violar o próprio Salesforce quando podem sequestrar os sistemas nos quais ele confia. Nesta postagem, vamos explicar como o UNC6395 explorou uma integração confiável entre a Salesloft e a Salesforce — e o que isso diz sobre o risco moderno da cadeia de suprimentos.

O número de organizações atingidas pela UNC6395 há mais de 700 no mundo todo, incluindo empresas de segurança cibernética como Zscaler, Palo Alto Networks, Proofpoint, Cloudflare e Tenable.  

O que ainda não está claro é até que ponto a campanha da UNC6395 se espalhou — ou exatamente quanta informação sensível ainda pode estar em jogo.  

Sabemos que dados roubados do Salesforce agora estão alimentando tentativas de extorsão. Um grupo de ameaças lançou um site de vazamento de dados exigindo resgate de empresas cujos registros de clientes foram publicados online. A Salesforce declarou publicamente que não pagará demandas de extorsão .

Ainda não está claro se essas novas alegações sobre o site de vazamento decorrem diretamente das operações da UNC6395, mas um fato é claro: uma vez que as credenciais são roubadas, os registros que elas desbloqueiam podem ressurgir repetidamente.

"Desde os dias das senhas até os certificados, a maior questão sempre foi 'Como você gerencia e mantém a integridade das chaves intacta?'", disse Michael Adjei, diretor de engenharia de sistemas da Illumio. “Esse problema não desapareceu — ele só piorou em um mundo interconectado.”

Quando uma chave confiável abre o reino

A arma do UNC6395 foram tokens OAuth roubados das integrações do Salesloft (uma plataforma de engajamento de vendas que sincroniza chamadas, e-mails e bate-papos no Salesforce) — especificamente por meio da conexão do chatbot Drift .

Com esses tokens, os invasores obtiveram acesso confiável em nível de API ao Salesforce e outros ambientes vinculados, consultando dados silenciosamente, exfiltrando contatos, casos e até mesmo credenciais como chaves da AWS, segredos de VPN e tokens Snowflake.

O Google agora recomenda que todos os tokens emitidos pela Drift sejam tratados como comprometidos.

O perímetro não é mais seu firewall

Se uma integração é a fechadura e um token OAuth é a chave, o que acontece quando essa chave acaba nas mãos erradas?

As empresas modernas dependem de sistemas fortemente conectados. Quando uma integração é violada, outras podem ser rapidamente expostas.

Um único comprometimento em uma conexão de CRM pode revelar dados de clientes, casos de suporte ou arquivos armazenados em ferramentas de produtividade. Credenciais e chaves de API deixadas em notas ou tickets podem então abrir acesso a ambientes de nuvem.

A maioria das pilhas empresariais vincula CRMs, plataformas de engajamento, ferramentas de bate-papo e armazenamento em nuvem. Cada conexão melhora a eficiência — mas também amplia o caminho que um invasor pode seguir.

Depois que um token é roubado, o invasor se torna efetivamente a integração legítima, ignorando completamente o MFA, os registros de auditoria e as redefinições de senha.

Por que os tokens OAuth são ouro

Os tokens OAuth conferem acesso delegado — por design. Mas esse mesmo design cria um ponto fraco: uma vez que a confiança é concedida, ela raramente é revogada.

“Tokens de longa duração geralmente duram mais que funcionários, fornecedores ou até mesmo as ferramentas que os criaram, deixando portas invisíveis abertas em todos os sistemas”, disse Adjei.

Chamadas de API que parecem normais

O malware é barulhento; as chamadas de API são silenciosas.

Nessa violação, os invasores se esconderam à vista de todos, emitindo consultas SOQL e API em massa que imitavam operações legítimas.

“APIs são como um carro com vidros escuros — as pessoas presumem que é você dentro”, disse Adjei. “A única maneira de saber o contrário é abrir a porta.”

Como essas solicitações vieram de integrações válidas, o sistema as tratou como benignas. Isso dificulta a detecção: as ações do invasor se misturam às atividades comerciais normais.

“Muitas organizações nem sequer conhecem todos os aplicativos e integrações em uso”, acrescentou Adjei. “Os tokens podem ter sido configurados anos atrás e nunca rotacionados. Essa combinação de TI paralela e acesso de longa duração significa que a exposição pode durar meses.”

Da SolarWinds à Salesloft

Ao contrário do SolarWinds, onde os invasores inseriram código malicioso em uma atualização de software, o UNC6395 não precisou escrever uma única linha de malware. Em vez disso, eles exploraram a própria confiança.

“A SolarWinds foi um despertar”, disse Adjei. “Isso provou a eficácia de atingir o elo mais fraco: um fornecedor altamente integrado. Se você comprometer isso, você ganha acesso a muitas organizações ao mesmo tempo.”

Essa mudança de ataques à cadeia de suprimentos baseados em código, como o SolarWinds, para ataques baseados em tokens sinaliza uma mudança de paradigma: você não precisa mais invadir com malware quando as chaves já existem.

Quem está por trás da violação

A análise de inteligência contra ameaças rastreia o acesso inicial ao UNC6395 — criminosos cibernéticos motivados financeiramente.  Embora alguns tenham notado a sobreposição do grupo com o foco da ShinyHuntersno Salesforce, nenhuma relação confirmada entre UNC6395 e ShinyHunters foi estabelecida.

O ShinyHunters é um coletivo mais amplo de corretores de dados e combate ao crime cibernético que pode interagir ou se beneficiar das campanhas da UNC6395, mas a atribuição não foi definida.

Agora, o Scattered Lapsus$ Hunters afirma que em breve começará a extorquir centenas de outras organizações que, segundo eles, perderam dados da Salesloft. A Salesforce enfatizou que o roubo de quaisquer dados de terceiros da Salesloft supostamente roubados pela ShinyHunters não se originou de uma vulnerabilidade na plataforma principal da Salesforce.

Como cortar o raio de explosão

Afinal, o comprometimento não é mais uma questão de "talvez" — é mais sobre até onde um invasor pode ir.

“A visibilidade e o contexto permitem que você veja mudanças no comportamento — transferências repentinas de grandes volumes de dados, anomalias, acesso estendido demais”, disse Adjei. “Mas a visibilidade só é valiosa se você agir de acordo com ela.”

Para reduzir o impacto de uma chave perdida:

  • Aplique o privilégio mínimo. Nunca dê escopos maiores do que o necessário.
  • Gire e revogue tokens regularmente.
  • Audite todos os aplicativos conectados, todas as integrações.
  • Implante monitoramento contínuo ajustado para tráfego de API anômalo e uso incomum de token.

Como o Illumio Insights pode ajudar

Invasores como o UNC6395 não precisaram de malware para se infiltrar em centenas de organizações — eles simplesmente seguiram os caminhos invisíveis da confiança. O Illumio Insights ilumina esses caminhos.  

Ao mapear a comunicação de sistema para sistema em seu ambiente, o Insights pode revelar quais aplicativos se comunicam entre si, com que frequência e quando algo parece fora do lugar. Quando um token OAuth comprometido começa a mover dados de maneiras inesperadas, o Insights ajuda as equipes a identificá-lo e contê-lo antes que ele se espalhe.

Os principais recursos incluem:

  • Detecção de movimento lateral: a visibilidade da comunicação entre sistemas é essencial para descobrir invasores se movimentando dentro dos ambientes.
  • Detecção de ameaças comportamentais: análises que identificam o uso anormal de ferramentas nativas ajudam a revelar atividades que se misturam às operações normais.  
  • Priorização de alertas: filtrar comportamentos de rotina e destacar padrões suspeitos é essencial quando invasores usam processos confiáveis.  
  • Contenção rápida: a capacidade de isolar ativos comprometidos rapidamente — sem esperar por assinaturas de malware — pode impedir uma ameaça antes que ela se espalhe.

Em um mundo onde as violações exploram a confiança em vez do código, o Illumio Insights oferece a visibilidade e o controle instantâneo que os defensores precisam em tempo real.

A violação da Salesloft nos ensina que os invasores não precisam explodir as paredes do seu castelo — eles só precisam de uma chave funcional.  

Quando as chaves estão disponíveis, sua postura de segurança depende de quem as possui e da rapidez com que você consegue detê-las.

Descubra como o Illumio Insights identifica e impede ameaças antes que elas se espalhem. Experimente todo o poder de Illumio Insights grátis por 14 dias.

Tópicos relacionados

Contenção de ransomware

Artigos relacionados

Como a Brooks usa o Illumio para impedir que o ransomware funcione desenfreadamente
Contenção de ransomware

Como a Brooks usa o Illumio para impedir que o ransomware funcione desenfreadamente

Veja por que a Brooks escolheu a segmentação Illumio Zero Trust para garantir a confiabilidade de seus negócios de varejo e comércio eletrônico.

Leia mais
Como um escritório de advocacia global interrompeu um ataque de ransomware usando o Illumio
Contenção de ransomware

Como um escritório de advocacia global interrompeu um ataque de ransomware usando o Illumio

Como a defesa contra ransomware da Illumio interrompeu rapidamente um ataque a um escritório de advocacia global, evitando danos significativos a seus sistemas, reputação e clientes.

Leia mais
Impedindo o ransomware: veja suas ameaças com o Illumio
Contenção de ransomware

Impedindo o ransomware: veja suas ameaças com o Illumio

Explore por que a visibilidade de aplicativos e tráfego em tempo real é essencial para conter o ransomware e como a segmentação Zero Trust o entrega com segurança.

Leia mais
Duas violações, um banco: lições da crise cibernética do ICBC
Resiliência cibernética

Duas violações, um banco: lições da crise cibernética do ICBC

Descubra as principais lições da crise cibernética do ICBC, em que duas grandes violações — ransomware nos EUA e roubo de dados em Londres — revelaram vulnerabilidades sistêmicas no setor bancário global.

Leia mais
Cavalo de Tróia moderno: como os atacantes vivem fora da terra e como detê-los
Contenção de ransomware

Cavalo de Tróia moderno: como os atacantes vivem fora da terra e como detê-los

Descubra como os atacantes “vivem da terra” usando ferramentas confiáveis como PowerShell e SSH e como impedir ameaças de LOTL com visibilidade e contenção.

Leia mais
Por que o Medusa Ransomware é uma ameaça crescente à infraestrutura crítica
Contenção de ransomware

Por que o Medusa Ransomware é uma ameaça crescente à infraestrutura crítica

Saiba como o ransomware Medusa funciona e por que é tão perigoso para infraestruturas críticas em todo o mundo.

Leia mais

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais