Компания Gainsight официально признала, что нарушение безопасности, инициированное через интеграции Salesforce, затронуло больше клиентов, чем предполагалось изначально. В обновлении от 21 ноября 2025 года сообщается, что первоначальный список из трех пострадавших клиентов, предоставленный Salesforce, «расширился до более крупного перечня». Атака приписывается киберпреступной группировке ShinyHunters, также известной как Bling Libra, которая входит в более широкий альянс SLSH.
Хотя точное количество жертв не разглашается, генеральный директор Gainsight Чак Ганапати (Chuck Ganapathi) заявил: «На данный момент нам известно лишь о горстке клиентов, чьи данные были затронуты». В ответ на инцидент Salesforce предупредила о «необычной активности» и отозвала все токены доступа и обновления, связанные с приложениями, опубликованными Gainsight. Это привело к временной недоступности функций чтения и записи из Salesforce для таких продуктов, как Customer Success (CS), Community (CC), Northpass — Customer Education (CE) и Skilljar (SJ). Продукт Staircase (ST) также был отключен, но исключительно из соображений осторожности в ходе расследования, так как сам он не был затронут.
Реакция сторонних сервисов последовала незамедлительно. Компании Zendesk, и HubSpot временно приостановили интеграцию с Gainsight, а Google отключил клиенты OAuth, использующие URI обратного вызова, такие как
Технический анализ выявил конкретные индикаторы компрометации (IoC). Для несанкционированного доступа злоумышленники использовали вредоносный User Agent
Альянс SLSH, объединяющий группировки Scattered Spider, LAPSUS$ и ShinyHunters, представляет собой серьезную угрозу. По данным ZeroFox, за последний год это объединение ответственно как минимум за 51 кибератаку. Их стратегия сочетает модели «Программа-вымогатель как услуга» (RaaS) и «Вымогательство как услуга» (EaaS) с вербовкой инсайдеров. Исследователь Мэтт Брэди (Matt Brady) из Palo Alto Networks Unit 42 назвал SLSH «грозным противником» из-за их широкого охвата и множества методов монетизации.
В настоящее время альянс SLSH разрабатывает новую сложную платформу-вымогатель под названием ShinySp1d3r (или Sh1nySp1d3r). Код этой программы является переработкой вымогателя HellCat, модифицированного с использованием инструментов искусственного интеллекта. О существовании новой угрозы в среду сообщил независимый журналист по кибербезопасности Брайан Кребс (Brian Krebs).
Ключевой фигурой в распространении ShinySp1d3r является участник SLSH под псевдонимом «Рей» (Rey, @ReyXBF). Он является одним из трех администраторов Telegram-канала SLSH и бывшим администратором BreachForums и сайта утечек HellCat. Под этим псевдонимом скрывается Саиф Аль-Дин Хадер (Saif Al-Din Khader), который утверждает, что сотрудничает с правоохранительными органами с июня 2025 года.
ShinySp1d3r обладает рядом уникальных технических возможностей. Вредоносная программа перехватывает функцию
Распространение ShinySp1d3r осуществляется через поиск и шифрование открытых сетевых ресурсов, а также на локальные устройства. Для этого используются методы
Изображение носит иллюстративный характер
Хотя точное количество жертв не разглашается, генеральный директор Gainsight Чак Ганапати (Chuck Ganapathi) заявил: «На данный момент нам известно лишь о горстке клиентов, чьи данные были затронуты». В ответ на инцидент Salesforce предупредила о «необычной активности» и отозвала все токены доступа и обновления, связанные с приложениями, опубликованными Gainsight. Это привело к временной недоступности функций чтения и записи из Salesforce для таких продуктов, как Customer Success (CS), Community (CC), Northpass — Customer Education (CE) и Skilljar (SJ). Продукт Staircase (ST) также был отключен, но исключительно из соображений осторожности в ходе расследования, так как сам он не был затронут.
Реакция сторонних сервисов последовала незамедлительно. Компании Zendesk, и HubSpot временно приостановили интеграцию с Gainsight, а Google отключил клиенты OAuth, использующие URI обратного вызова, такие как
gainsightcloud[.]com. При этом HubSpot отдельно отметил отсутствие доказательств компрометации собственной инфраструктуры или данных своих клиентов. Пользователям Gainsight рекомендовано входить в систему Gainsight NXT напрямую, минуя Salesforce, сбросить пароли для учетных записей без SSO и повторно авторизовать подключенные приложения. Технический анализ выявил конкретные индикаторы компрометации (IoC). Для несанкционированного доступа злоумышленники использовали вредоносный User Agent
Salesforce-Multi-Org-Fetcher/1.0, который ранее был замечен в подозрительной активности Salesloft Drift. Разведывательные действия против клиентов со скомпрометированными токенами доступа велись с IP-адреса 3.239.45[.]. Ответственность за атаку лежит на группировке ShinyHunters (Bling Libra), действующей в составе альянса SLSH. Альянс SLSH, объединяющий группировки Scattered Spider, LAPSUS$ и ShinyHunters, представляет собой серьезную угрозу. По данным ZeroFox, за последний год это объединение ответственно как минимум за 51 кибератаку. Их стратегия сочетает модели «Программа-вымогатель как услуга» (RaaS) и «Вымогательство как услуга» (EaaS) с вербовкой инсайдеров. Исследователь Мэтт Брэди (Matt Brady) из Palo Alto Networks Unit 42 назвал SLSH «грозным противником» из-за их широкого охвата и множества методов монетизации.
В настоящее время альянс SLSH разрабатывает новую сложную платформу-вымогатель под названием ShinySp1d3r (или Sh1nySp1d3r). Код этой программы является переработкой вымогателя HellCat, модифицированного с использованием инструментов искусственного интеллекта. О существовании новой угрозы в среду сообщил независимый журналист по кибербезопасности Брайан Кребс (Brian Krebs).
Ключевой фигурой в распространении ShinySp1d3r является участник SLSH под псевдонимом «Рей» (Rey, @ReyXBF). Он является одним из трех администраторов Telegram-канала SLSH и бывшим администратором BreachForums и сайта утечек HellCat. Под этим псевдонимом скрывается Саиф Аль-Дин Хадер (Saif Al-Din Khader), который утверждает, что сотрудничает с правоохранительными органами с июня 2025 года.
ShinySp1d3r обладает рядом уникальных технических возможностей. Вредоносная программа перехватывает функцию
EtwEventWrite, чтобы остановить ведение журналов в Windows Event Viewer, и завершает процессы, удерживающие файлы открытыми, для обеспечения их шифрования. В качестве меры антикриминалистики программа заполняет свободное место на диске случайными данными (в файле .tmp), чтобы перезаписать удаленные файлы и затруднить восстановление. Распространение ShinySp1d3r осуществляется через поиск и шифрование открытых сетевых ресурсов, а также на локальные устройства. Для этого используются методы
deployViaSCM (через диспетчер управления службами), deployViaWMI (через инструментарий управления Windows) и attemptGPODeployment (попытка развертывания через групповые политики). Совокупность этих факторов делает новую разработку альянса SLSH крайне опасным инструментом в руках киберпреступников.
