Gainsight đã tiết lộ rằng hoạt động đáng ngờ gần đây nhắm vào các ứng dụng của họ đã ảnh hưởng đến nhiều khách hàng hơn dự kiến ban đầu.
Công ty cho biết Salesforce ban đầu đã cung cấp danh sách 3 khách hàng bị ảnh hưởng và danh sách này đã "mở rộng" thành một danh sách lớn hơn tính đến ngày 21 tháng 11 năm 2025. Gainsight không tiết lộ số lượng chính xác khách hàng bị ảnh hưởng, nhưng CEO Chuck Ganapathi cho hay "chúng tôi hiện chỉ biết một số ít khách hàng có dữ liệu bị ảnh hưởng."
Diễn biến này xảy ra khi Salesforce cảnh báo về việc phát hiện "hoạt động bất thường" liên quan đến các ứng dụng do Gainsight phát hành được kết nối với nền tảng, khiến công ty phải thu hồi tất cả các access và refresh tokens liên quan. Vụ vi phạm đã được nhận trách nhiệm bởi nhóm tội phạm mạng khét tiếng ShinyHunters (hay còn gọi là Bling Libra).
Một số biện pháp phòng ngừa khác đã được thực hiện để kiểm soát sự cố. Điều này bao gồm việc Zendesk, Gong.io và HubSpot tạm thời đình chỉ các tích hợp Gainsight của họ, và Google vô hiệu hóa các OAuth clients với các callback URIs như gainsightcloud[.]com. HubSpot, trong thông báo riêng của mình, cho biết họ không tìm thấy bằng chứng nào cho thấy có sự thỏa hiệp đối với cơ sở hạ tầng hoặc khách hàng của chính họ.
Trong một phần Câu hỏi thường gặp (FAQ), Gainsight cũng đã liệt kê các sản phẩm mà khả năng đọc và ghi từ Salesforce đã tạm thời không khả dụng:
- Customer Success (CS)
- Community (CC)
- Northpass - Customer Education (CE)
- Skilljar (SJ)
- Staircase (ST)
Tuy nhiên, công ty nhấn mạnh rằng Staircase không bị ảnh hưởng bởi sự cố và Salesforce đã loại bỏ kết nối Staircase một cách thận trọng để phản ứng với cuộc điều tra đang diễn ra.
Cả Salesforce và Gainsight đều đã công bố các indicators of compromise (IoCs) liên quan đến vụ vi phạm, với một user agent string, "Salesforce-Multi-Org-Fetcher/1.0", được sử dụng để truy cập trái phép, cũng được gắn cờ là đã từng được sử dụng trong hoạt động Salesloft Drift trước đây.
Theo thông tin từ Salesforce, các nỗ lực trinh sát chống lại khách hàng có access tokens của Gainsight bị xâm phạm lần đầu tiên được ghi nhận từ địa chỉ IP "3.239.45[.]43" vào ngày 23 tháng 10 năm 2025, tiếp theo là các làn sóng trinh sát và truy cập trái phép sau đó bắt đầu từ ngày 8 tháng 11.
Để bảo mật môi trường của họ hơn nữa, khách hàng được yêu cầu thực hiện các bước sau:
- Xoay vòng các access keys của S3 bucket và các trình kết nối khác như BigQuery, Zuora, Snowflake, v.v., được sử dụng để kết nối với Gainsight.
- Đăng nhập trực tiếp vào Gainsight NXT, thay vì thông qua Salesforce, cho đến khi tích hợp được khôi phục hoàn toàn.
- Đặt lại mật khẩu người dùng NXT cho bất kỳ người dùng nào không xác thực qua SSO.
- Cấp lại quyền cho bất kỳ ứng dụng hoặc tích hợp được kết nối nào dựa vào thông tin đăng nhập hoặc tokens của người dùng.
"Các bước này mang tính phòng ngừa và được thiết kế để đảm bảo môi trường của bạn vẫn an toàn trong khi cuộc điều tra tiếp tục," Gainsight cho biết.
Sự phát triển này diễn ra trong bối cảnh một nền tảng ransomware-as-a-service (RaaS) mới có tên ShinySp1d3r (còn được viết là Sh1nySp1d3r) đang được phát triển bởi Scattered Spider, LAPSUS$ và ShinyHunters (SLSH). Dữ liệu từ ZeroFox đã tiết lộ rằng liên minh tội phạm mạng này đã gây ra ít nhất 51 cuộc tấn công mạng trong năm qua.
"Mặc dù encryptor của ShinySp1d3r có một số tính năng phổ biến với các encryptors khác, nhưng nó cũng sở hữu những tính năng chưa từng thấy trước đây trong không gian RaaS," công ty cho biết.
"Chúng bao gồm: Hooking hàm EtwEventWrite để ngăn chặn việc ghi nhật ký Windows Event Viewer, chấm dứt các processes giữ các files đang mở – điều này thường ngăn cản việc mã hóa – bằng cách lặp qua các processes trước khi kết thúc chúng, [và] lấp đầy không gian trống trong một ổ đĩa bằng cách ghi dữ liệu ngẫu nhiên chứa trong một file .tmp, có khả năng để ghi đè lên bất kỳ files đã bị xóa nào."
ShinySp1d3r cũng có khả năng tìm kiếm các network shares đang mở và mã hóa chúng, cũng như lây lan sang các thiết bị khác trên mạng cục bộ thông qua deployViaSCM, deployViaWMI và attemptGPODeployment.
Trong một báo cáo được công bố vào thứ Tư, nhà báo an ninh mạng độc lập Brian Krebs cho biết cá nhân chịu trách nhiệm phát hành ransomware là một thành viên cốt lõi của SLSH tên là "Rey" (còn gọi là @ReyXBF), người cũng là một trong ba quản trị viên của kênh Telegram của nhóm. Rey trước đây là quản trị viên của BreachForums và trang web rò rỉ dữ liệu cho HellCat ransomware.
Rey, người có danh tính đã được tiết lộ là Saif Al-Din Khader, nói với Krebs rằng ShinySp1d3r là một phiên bản làm lại của HellCat đã được sửa đổi bằng các công cụ artificial intelligence (AI) và anh ta đã hợp tác với cơ quan thực thi pháp luật kể từ ít nhất là tháng 6 năm 2025.
"Sự xuất hiện của một chương trình RaaS, kết hợp với dịch vụ EaaS (extortion-as-a-service), khiến SLSH trở thành một đối thủ đáng gờm về mặt phạm vi rộng mà chúng có thể nhắm mục tiêu vào các tổ chức bằng cách sử dụng nhiều phương pháp để kiếm tiền từ các hoạt động xâm nhập của chúng," Matt Brady, nhà nghiên cứu của Palo Alto Networks Unit 42, cho biết. "Ngoài ra, yếu tố tuyển dụng nội bộ còn bổ sung thêm một lớp phòng thủ khác cho các tổ chức."
