Logo TecMundo
Segurança

Grupo de hackers chantageia Google com ameaça de vazamento de dados

Scattered Lapsus$ Hunters pressiona Sundar Pichai a demitir dois analistas e ameaça vazar dados da empresa após ataque ligado ao incidente da Salesforce

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule04/09/2025, às 18:45

updateAtualizado em 04/09/2025, às 18:55

Fonte: HackRead

Um grupo de cibercriminosos, conhecido como “Scattered Lapsus$ Hunters”, publicou um comunicado no canal do Telegram, exigindo que Sundar Pichai, CEO do Google, demitisse dois membros da equipe de segurança da companhia – sendo eles Austin Larsen e Charles Carmakal. 

Além disso, o grupo também pedia que as equipes de segurança da big tech abandonassem as investigações sobre grupos de ameaça UNC3944, UNC5537, UNC6040, UNC6240 e UNC6395 – todos ligados aos recentes ataques à Salesforce. Caso as demandas não sejam atendidas, eles ameaçaram vazar dados da companhia.

smart_display

Nossos vídeos em destaque

ameacas-Scattered-Lapsus$-Hunters.png

Em outras mensagens divulgadas pelo grupo hacker, eles ironizam que “ao invés de falar sobre estarmos dando um ultimato para o Google, poderíamos falar sobre o fato deles serem continuamente hackeados por nós”. 

“Nós os hackeamos novamente via campanha Salesloft, que eles já haviam escrito um artigo sobre” – Scattered Lapsus$ Hunters

Leia Mais
EUA usaram Claude IA para atacar Irã mesmo com Anthropic banida

De acordo com as mensagens divulgadas, os hackers afirmam que a Google não agiu para bloquear a vulnerabilidade que permitiu acesso à sua base de dados.

Funcionários do Google foram vítimas de vishing

A vulnerabilidade, que expôs informações de contato e criou oportunidades para campanhas de phishing, não comprometeu contas do Gmail ou serviços voltados para o consumidor. É possível que as últimas exigências tenham mais a ver com intimidação e interrupção das investigações em andamento do que com qualquer acesso confirmado à infraestrutura central do Google.

Contudo, nomear especialistas nas mensagem não é uma ação comum, até mesmo para grupos de cibercrime de alto perfil. Normalmente, os hackers se concentram em extorsão financeira ou roubo de dados confidenciais

Pedir a demissão de analistas específicos aponta para uma tentativa calculada de enfraquecer a capacidade do Google de rastrear e combater suas operações. Tanto Larsen quanto Carmakal têm experiência em responder a incidentes sofisticados e coordenar estratégias de defesa contra governos e grupos ligados ao Estado e motivados financeiramente.

Leia Mais
FGV sofre vazamento de 1,52 TB em suposto ataque cibernético do grupo Dragonforce

Histórico de ataques recentes ao Google

Os ataques descritos pelo grupo aconteceram entre junho e setembro, foram registrados no blog do Google Threat Intelligence e têm sido acompanhados pelo TecMundo. Todos eles estão ligados, de alguma forma, ao vazamento da Salesforce. As invasões também incluem etapas com exploração de vishing, técnica que engana vítimas por meio de chamadas de voz, que simulam atendimento com equipes de atendimento ao cliente, por exemplo.

Em junho, hackers do grupo UNC6040, que se nomeavam ShinyHunters, ligaram para um funcionário do Google fingindo ser da equipe de TI. A partir da chamada, convenceram o colaborador a instalar e autorizar um app falso no Salesforce, que imitava o Data Loader –  aplicativo para importação ou exportação em massa de dados. Com isso, os hackers garantiram acesso a contatos e anotações de PMEs clientes do Google. De acordo com a empresa, os únicos dados expostos foram informações báśicas como nomes, endereços de e-mails e contatos.

Em julho, outro grupo do ShinyHunters, conhecido como UNC6240, começou a usar os dados roubados no ataque anterior para fazer ligações e e-mails de extorsão, pedindo transferências em bitcoin em até 72 horas.

google.png

Leia Mais
Vídeo mostra 'túnel de drones' do Irã preparados para ataque

A partir de agosto, hackers do grupo UNC6395, exploraram o app Salesloft Drift, integrado ao Salesforce e usado para converter clientes usando análise de dados. Os criminosos roubaram tokens OAuth e refresh tokens, que permitem acesso à integração entre os apps Salesforce e base de dados. 

Assim, eles foram capazes de invadir instâncias do Salesforce de várias empresas e roubar dados como registros de CRM - como contatos, cases e oportunidades de negócios, e credenciais de serviços. Algumas empresas afetadas foram a Cloudflare, Zscaler, Palo Alto Networks e PagerDuty.

O Google ainda não se pronunciou sobre as ameaças feitas pelo grupo, mas as ações e coerções devem continuar até que a big tech se manifeste.

Para continuar acompanhando essa história, siga o TecMundo nas redes sociais, se inscreva em nosso canal do YouTube e em nossa newsletter.

Perguntas Frequentes

Quem são os Scattered Lapsus$ Hunters e o que eles exigem do Google?
Os Scattered Lapsus$ Hunters são um grupo de cibercriminosos que publicou um comunicado exigindo que o CEO do Google, Sundar Pichai, demitisse dois analistas de segurança da empresa — Austin Larsen e Charles Carmakal. Além disso, pedem que o Google interrompa investigações sobre grupos de ameaça ligados a ataques recentes à Salesforce. Caso suas exigências não sejam atendidas, ameaçam vazar dados da companhia.
Por que os hackers estão exigindo a demissão de analistas específicos?
Essa exigência é incomum mesmo entre grupos de cibercrime sofisticados. Nomear analistas específicos sugere uma tentativa deliberada de enfraquecer a capacidade do Google de rastrear e combater suas operações. Larsen e Carmakal são especialistas em resposta a incidentes e defesa contra ameaças avançadas, incluindo aquelas ligadas a governos e grupos com motivações financeiras.
O que é vishing e como ele foi usado nos ataques ao Google?
Vishing é uma técnica de engenharia social que utiliza chamadas de voz para enganar vítimas, geralmente fingindo ser de uma equipe de suporte. Em junho, hackers se passaram por funcionários de TI do Google e convenceram um colaborador a instalar um aplicativo falso no Salesforce, o que permitiu o acesso a dados de clientes da empresa.
Quais dados foram comprometidos nos ataques mencionados?
Segundo o Google, os dados expostos foram informações básicas como nomes, endereços de e-mail e contatos de clientes PMEs. Não houve comprometimento de contas do Gmail ou serviços voltados ao consumidor. Em ataques posteriores, os hackers também roubaram tokens de autenticação e dados de CRM de empresas como Cloudflare, Zscaler, Palo Alto Networks e PagerDuty.
O que são tokens OAuth e refresh tokens, e por que são importantes?
Tokens OAuth e refresh tokens são credenciais usadas para autorizar o acesso contínuo entre aplicativos sem exigir login constante. No ataque de agosto, os hackers roubaram esses tokens para acessar integrações entre o Salesforce e bases de dados, permitindo o roubo de informações sensíveis de várias empresas.
Qual a relação entre os ataques ao Google e a Salesforce?
Os ataques ao Google estão ligados a vulnerabilidades exploradas em integrações com a Salesforce. Grupos como UNC6040, UNC6240 e UNC6395 usaram técnicas como vishing e exploração de aplicativos como Salesloft e Drift para obter acesso a dados corporativos, incluindo informações de CRM e credenciais de serviços.
O Google já respondeu às ameaças dos hackers?
Até o momento, o Google não se pronunciou oficialmente sobre as ameaças feitas pelos Scattered Lapsus$ Hunters. No entanto, o grupo afirma que continuará com ações e coerções até que a empresa se manifeste.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 22 horas
Fone de Ouvido Apple AirPods 4 com Estojo
36% off

Cupom 3DO3

Fone de Ouvido Apple AirPods 4 com Estojo

R$ 948,00

Áudio kabum.com.brnew_releases
Smartphone Motorola Edge 60 5G, 512GB
22% off

Aproveite!

Smartphone Motorola Edge 60 5G, 512GB

R$ 2.174,00

Celulares pontofrio.com.brnew_releases
Controle DualSense PlayStation 5
26% off

Imperdível!

Controle DualSense PlayStation 5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA