ShinyHunters attackiert Salesforce-Kunden im großen Stil

Hunderte Unternehmen stehen nach einer massiven Angriffswelle auf falsch konfigurierte Salesforce-Portale vor erpresserischen Datenleaks. Die Cyberkriminellen nutzten ein manipuliertes Sicherheitstool für ihre Attacke.

Seit dem vergangenen Wochenende befindet sich die internationale Cybersicherheitsbranche im Ausnahmezustand. Das berüchtigte Cybererpresser-Syndikat ShinyHunters hat eine koordinierte Angriffswelle gestartet, die hunderte Organisationen weltweit getroffen hat. Im Fokus standen dabei falsch konfigurierte Salesforce Experience Cloud-Umgebungen. Die Gruppe droht nun damit, sensible Daten von über 400 Unternehmen zu veröffentlichen, sollten die Lösegeldforderungen nicht erfüllt werden.

Der aktuelle Großangriff auf Salesforce-Systeme verdeutlicht, wie schnell Konfigurationsfehler zu massiven Datenleaks führen können. Dieser kostenlose Leitfaden zeigt Ihnen, mit welchen einfachen Maßnahmen Sie Ihr Unternehmen effektiv vor modernen Cyber-Bedrohungen schützen. IT-Sicherheit ohne Budget-Explosion stärken

Die Dimension der „Salesforce Aura“-Kampagne

Die Bedrohungsakteure gaben am Montag über ihre Dark-Web-Plattform bekannt, etwa 400 Organisationen kompromittiert zu haben. Unter den namentlich genannten Zielen finden sich Schwergewichte wie Sony, AMD, Okta, LastPass und überraschenderweise auch Salesforce selbst. Für rund 100 dieser Unternehmen soll es sich um „essentielle“ Betriebe handeln.

Die Angreifer fordern die betroffenen Firmen nun auf, Kontakt aufzunehmen und zu verhandeln. Andernfalls drohen sie mit der Veröffentlichung gestohlener Datensätze. Nachrichtendienste gehen davon aus, dass es sich um umfangreiche CRM-Daten handelt – also Namen, Telefonnummern und interne Geschäftsaufzeichnungen. Solche Informationen sind auf dem Schwarzmarkt hochbegehrt und dienen oft als Grundlage für gezielte Phishing-Angriffe.

Die Kampagne markiert eine gefährliche Entwicklung: Statt mühsam in einzelne Netzwerke einzudringen, nutzen Kriminelle zunehmend Schwachstellen in weit verbreiteten SaaS-Clouds, um mit einem Schlag Zugang zu Dutzenden Firmennetzwerken zu erhalten.

Das technische Schlupfloch: Gast-Berechtigungen

Der Angriff nutzte keine bisher unbekannte Sicherheitslücke (Zero-Day) im Salesforce-Kernsystem aus. Vielmehr waren es weit verbreitete Konfigurationsfehler in den Berechtigungen für Gastnutzer. Das Experience Cloud ermöglicht es Unternehmen, öffentliche Portale für Kunden oder Partner einzurichten. Besucher können diese Seiten ohne Login aufrufen.

Das Problem: Wenn Administratoren diesen anonymen Gastprofilen zu viele Rechte einräumen, wird plötzlich auch sensibles Firmeninterna öffentlich zugänglich. Genau dieses Schlupfloch hat ShinyHunters systematisch ausgenutzt.

Als Werkzeug diente den Angreifern ein manipuliertes Open-Source-Programm namens AuraInspector. Das Tool wurde ursprünglich von der Sicherheitsfirma Mandiant entwickelt, um Schwachstellen aufzuspüren. Die Cyberkriminellen haben den Code jedoch so verändert, dass sie die üblichen Abfragerestriktionen umgehen konnten. So scannten sie automatisiert tausende Salesforce-Portale und extrahierten alle verfügbaren Datensätze.

Reaktionen von Salesforce und Partnern

Salesforce reagierte bereits am Samstag mit einer kritischen Sicherheitswarnung. Der Cloud-Anbieter forderte Kunden auf, sofort die Berechtigungen für Gastnutzer zu überprüfen und nach dem Prinzip der geringsten Rechte (Least Privilege) zu beschränken. Das Unternehmen betonte, dass es sich um ein Konfigurationsproblem der Kunden handele, nicht um einen Fehler in der eigenen Infrastruktur.

Mandiant arbeitet eng mit Salesforce zusammen, um den Missbrauch seines eigenen Tools einzudämmen. Das Unternehmen warnt jedoch davor, dass das bloße Auffinden von Scan-Aktivität in den Logs noch keinen erfolgreichen Datenabfluss beweise. Die Angreifer würden derzeit ein sehr weites Netz auswerfen.

Betroffene Unternehmen wie LastPass bestätigten, die Vorfälle zu untersuchen. Erste Analysen deuten darauf hin, dass es keine Verbindung zu anderen aktuellen Phishing-Kampagnen gibt.

ShinyHunters: Vom Phishing zur Automatisierung

Die Gruppe ShinyHunters ist kein Unbekannter. Sie erlangte traurige Berühmtheit durch den massiven Angriff auf Snowflake-Kundendatenbanken im Jahr 2024. In der Vergangenheit setzte das Syndikat stark auf aufwändige Voice-Phishing-Angriffe (Vishing), bei denen Mitarbeiter dazu gebracht wurden, schädliche Anwendungen zu autorisieren.

Da Angreifer wie ShinyHunters verstärkt auf psychologische Muster und Phishing setzen, ist eine gezielte Prävention für Unternehmen unerlässlich. In diesem Experten-Guide erfahren Sie in 4 Schritten, wie Sie Ihre Organisation wirksam vor Phishing-Attacken und Hacker-Methoden schützen. Kostenlosen Anti-Phishing-Guide herunterladen

Die aktuelle „Aura“-Kampagne zeigt eine strategische Wende: Statt auf menschliche Interaktion setzen die Kriminellen nun auf die automatisierte Ausbeutung von Konfigurationsfehlern. Diese Methode erlaubt es ihnen, ihre Operationen massiv zu skalieren. Die jüngsten Angriffe auf den SaaS-Anbieter Woflow und die Vermögensverwaltung Pathstone Family Office Anfang März gehören offenbar zum gleichen Aktivitätsschub.

Folgen für die Cloud-Sicherheit

Die Branche bereitet sich nun auf mögliche großangelegte Datenleaks in den kommenden Tagen vor. Alle Nutzer des Salesforce Experience Cloud sind aufgefordert, ihre Sicherheitseinstellungen umgehend zu überprüfen.

Der Vorfall wird wahrscheinlich zu einer grundlegenden Neubewertung von SaaS-Sicherheitspraktiken führen. Experten fordern einen Wechsel von netzwerkzentrierten Abwehrmaßnahmen hin zu einer kontinuierlichen, identitätsbasierten Überwachung. Das blinde Vertrauen in lizenzierte Cloud-Anwendungen birgt oft gefährliche Sichtbarkeitslücken – eine Schwäche, die Angreifer zunehmend ausnutzen.

Regulierungsbehörden könnten den Druck auf Unternehmen erhöhen, die Sicherheit von öffentlichen Cloud-Portale besser zu managen. Die „Salesforce Aura“-Kampagne ist eine eindringliche Mahnung: In der vernetzten Cloud-Ära kann bereits eine einzige falsch gesetzte Berechtigung zu katastrophalem Datenverlust und massivem Reputationsschaden führen.