Gainsight ha revelado que la actividad sospechosa reciente dirigida a sus aplicaciones está afectando a más clientes de lo que se pensaba anteriormente.
La compañía dijo que Salesforce inicialmente proporcionó una lista de tres clientes afectados, pero a partir del 21 de noviembre de 2025, se había «ampliado a una lista más grande». La compañía no reveló el número exacto de clientes afectados, pero el director ejecutivo, Chuck Ganapati, dijo: «En este momento, sólo conocemos a unos pocos clientes cuyos datos se han visto afectados».
El desarrollo se produce después de que Salesforce advirtiera que había detectado «actividad anómala» relacionada con las aplicaciones publicadas de Gainsight conectadas a la plataforma, lo que llevó a la compañía a revocar todo acceso y actualizar los tokens asociados con ellas. La infracción es reclamada por un notorio grupo de ciberdelincuencia conocido como ShinyHunters (también conocido como Bling Libra).
Se han tomado muchas otras medidas de precaución para contener este incidente. Esto incluye que Zendesk, Gong.io y HubSpot suspendan temporalmente sus integraciones con Gainsight y que Google deshabilite los clientes OAuth que usan URI de devolución de llamada como Gainsightcloud(.)com. En su propio aviso, HubSpot dijo que no encontró evidencia que sugiera un compromiso de su infraestructura o de sus clientes.
En sus preguntas frecuentes, Gainsight también enumeró los productos para los cuales la capacidad de leer y escribir desde Salesforce no está disponible temporalmente.
Éxito del cliente (CS) Comunidad (CC) Northpath – Educación del cliente (CE) Skillger (SJ) Escaleras (ST)
Sin embargo, la compañía enfatizó que Staircase no se ve afectado por este incidente y que Salesforce eliminó prudentemente la conexión de Staircase en respuesta a la investigación en curso.
Tanto Salesforce como Gainsight han publicado indicadores de compromiso (IoC) relacionados con esta infracción, incluida una cadena de agente de usuario utilizada para acceso no autorizado, «Salesforce-Multi-Org-Fetcher/1.0», que también se marcó como utilizada anteriormente en la actividad de Salesloft Drift.
Según información de Salesforce, la actividad de reconocimiento contra clientes con tokens de acceso de Gainsight comprometidos se registró por primera vez el 23 de octubre de 2025 desde la dirección IP 3.239.45(.)43, y el reconocimiento y el acceso no autorizado han continuado desde el 8 de noviembre.
Para que el entorno sea aún más seguro, se pide a los clientes que sigan los pasos a continuación.
Gire las claves de acceso al depósito de S3 que se utilizan para conectarse con Gainsight y otros conectores como BigQuery, Zuora y Snowflake. Inicie sesión directamente en Gainsight NXT en lugar de hacerlo a través de Salesforce hasta que la integración se restablezca por completo. Restablezca las contraseñas de los usuarios de NXT para los usuarios que no se autentican mediante SSO. Vuelva a autenticar cualquier aplicación o integración conectada que dependa de credenciales o tokens de usuario.
«Estas medidas son de naturaleza preventiva y están diseñadas para mantener el medio ambiente seguro mientras continúa la investigación», dijo Gainsight.
El desarrollo se produce gracias a una nueva plataforma de ransomware como servicio (RaaS) llamada ShinySp1d3r (también escrita como Sh1nySp1d3r), que está siendo desarrollada por Scattered Spider, LAPSUS$ y ShinyHunters (SLSH). Los datos de ZeroFox revelaron que Cybercrime Alliance estuvo involucrada en al menos 51 ataques cibernéticos durante el año pasado.
«Si bien el cifrador ShinySp1d3r tiene algunas características en común con otros cifradores, también tiene características nunca antes vistas en el espacio RaaS», dijo la compañía.
«Estos incluyen conectar la función EtwEventWrite para evitar el registro del Visor de eventos de Windows, iterar sobre procesos que mantienen abiertos los archivos (lo que generalmente evita el cifrado) antes de finalizarlos, (y) llenar el espacio libre en la unidad escribiendo datos aleatorios contenidos en archivos .tmp y probablemente sobrescribiendo archivos eliminados».
ShinySp1d3r tiene la capacidad de buscar y cifrar recursos compartidos de red abiertos, así como propagarse a otros dispositivos en la red local a través de implementarViaSCM, implementarViaWMI y TryGPODeployment.
En un informe publicado el miércoles, el periodista independiente de ciberseguridad Brian Krebs dijo que el ransomware fue publicado por un miembro central de SLSH llamado «Rey» (también conocido como @ReyXBF) y uno de los tres administradores del canal Telegram del grupo. Rey anteriormente administró los sitios web de violación de datos de ransomware BreachForums y HellCat.
Ray, cuya identidad fue revelada como Saif al-Din Kader, le dijo a Krebs que ShinySp1d3r era una repetición de HellCat modificado con herramientas de inteligencia artificial (IA) y que había estado cooperando con las fuerzas del orden desde al menos junio de 2025.
«La aparición de programas RaaS combinados con servicios de extorsión como servicio (EaaS) convierte a SLSH en un adversario formidable en términos de lanzar una amplia red contra organizaciones que utilizan múltiples métodos para monetizar operaciones de intrusión», dijo Matt Brady, investigador de la Unidad 42 de Palo Alto Networks. «Además, el elemento de contratación de información privilegiada añade una capa adicional de protección para las organizaciones».
Source link
