Cacciatori lucidi
ShinyHunters è un famigerato gruppo specializzato in furti di dati e violazioni che è salito alla ribalta nel 2020 grazie alla fuga e alla vendita di milioni di dati di utenti di aziende di tutto il mondo.
L'origine di ShinyHunters
A differenza dei gruppi di ransomware, ShinyHunters non cripta i sistemi. Le loro operazioni si concentrano invece sulla violazione delle reti, sul furto di dati e sulla loro monetizzazione tramite forum underground o canali Telegram. Sono stati collegati a fughe di dati di alto profilo dai repository GitHub di Microsoft, Tokopedia, Tokopedia, Bonobos e decine di organizzazioni minori.
Il gruppo è noto per le violazioni ad alto volume, con database contenenti decine di milioni di record che compaiono regolarmente sui mercati clandestini. Lo stile operativo di ShinyHunters mescola l'estorsione finanziaria, il danneggiamento del marchio e la costruzione della reputazione, diventando cosìuna minaccia persistente per le aziende di diversi settori.
Nell'agosto 2025, ShinyHunters ha avviato una partnership operativa con LAPSUS$ e Scattered Spiderformando il collettivo di estorsori Scattered LAPSUS$ Hunters. In questa alleanza, ShinyHunters fornisce una pipeline di database rubati e di infrastrutture di violazione di massa, che completano il modello di estorsione di LAPSUS$, basato sullo spettacolo pubblico, e le sofisticate capacità di ingegneria sociale e di intrusione SaaS di Scattered Spider. Questa collaborazione espande l'influenza di ShinyHunters al di là dei mercati clandestini, fino a portarla sotto i riflettori dei media mainstream, consentendole di amplificare la pressione sui riscatti e i danni alla reputazione, accelerando al contempo la monetizzazione.
Paesi presi di mira da ShinyHunters
Globale, con vittime in tutto il mondo:
- Stati Uniti
- India e sud-est asiatico
- Europa (Francia, Germania, Regno Unito)
- America Latina
Industrie prese di mira da ShinyHunters
Le violazioni di ShinyHunters coprono un ampio spettro, in genere incentrato su settori ricchi di dati:
- Commercio al dettaglio e e-commerce (Tokopedia, Wattpad, Bonobos)
- Tecnologia e SaaS (repository GitHub di Microsoft)
- Servizi finanziari (vari database fintech e bancari)
- Cibo e bevande (piattaforme di consegna a domicilio, app per ristoranti)
- Piattaforme sanitarie e di consumo con insiemi di dati ricchi di PII
Vittime conosciute
- GitHub: Repository di codice sorgente rubati
- Tokopedia: 91 milioni di dati utente trapelati
- Wattpad: 270 milioni di registrazioni rubate e trapelate
- Bonobos: 7 milioni di dati di clienti venduti online
- Numerose piattaforme di consegna di cibo e di e-commerce a livello globale
Metodo di attacco di ShinyHunters
Sfrutta applicazioni mal configurate, credenziali deboli o acquisisce l'accesso tramite broker del dark web.
Utilizza exploit o configurazioni errate disponibili pubblicamente nelle applicazioni web e nei database.
Si affida alla furtività, spesso confondendosi con il traffico legittimo o sfruttando la debolezza della sicurezza cloud .
Punta a GitHub, al cloud storage e ai database interni; raccoglie le credenziali degli utenti.
Mappe accessibili a database e archivi interni.
Espande l'accesso dalle applicazioni web ai database di backend e ai repository di codice.
Esfiltrazione di set di dati su larga scala contenenti PII, informazioni finanziarie e codice sorgente.
Esegue semplici script di estrazione dei dati e crawler automatizzati per massimizzare il furto di dati.
Trasferimento di set di dati rubati a forum clandestini e canali Telegram.
Provoca danni alla reputazione attraverso fughe di notizie di massa, tentativi di estorsione e la vendita di dati scaricati.
Sfrutta applicazioni mal configurate, credenziali deboli o acquisisce l'accesso tramite broker del dark web.
Utilizza exploit o configurazioni errate disponibili pubblicamente nelle applicazioni web e nei database.
Si affida alla furtività, spesso confondendosi con il traffico legittimo o sfruttando la debolezza della sicurezza cloud .
Punta a GitHub, al cloud storage e ai database interni; raccoglie le credenziali degli utenti.
Mappe accessibili a database e archivi interni.
Espande l'accesso dalle applicazioni web ai database di backend e ai repository di codice.
Esfiltrazione di set di dati su larga scala contenenti PII, informazioni finanziarie e codice sorgente.
Esegue semplici script di estrazione dei dati e crawler automatizzati per massimizzare il furto di dati.
Trasferimento di set di dati rubati a forum clandestini e canali Telegram.
Provoca danni alla reputazione attraverso fughe di notizie di massa, tentativi di estorsione e la vendita di dati scaricati.
TTP utilizzati da ShinyHunters
Come rilevare gli ShinyHunters con Vectra AI
DOMANDE FREQUENTI
ShinyHunters distribuisce ransomware?
No. A differenza di molti gruppi di eCrime, questi si concentrano esclusivamente sul furto e sulle fughe di dati, non sulla crittografia dei file.
Come guadagna ShinyHunters?
Vendendo database rubati su forum clandestini e canali Telegram, o estorcendo alle aziende.
Che tipo di dati rubano?
Principalmente PII, credenziali di accesso, dati finanziari e archivi di codice sorgente.
Le loro violazioni sono mirate o opportunistiche?
Per lo più opportunistici, sfruttano sistemi vulnerabili o scarsamente protetti per ottenere il massimo volume di dati.
Lavorano con gli addetti ai lavori?
A differenza di LAPSUS$, ci sono meno prove di reclutamento di insider; si basano maggiormente su violazioni tecniche.
Qual è il loro rapporto con gli altri gruppi?
Ora hanno stretto una partnership con LAPSUS$ e Scattered Spider sotto il marchio "Scattered LAPSUS$ Hunters". Stanno anche distribuendo informazioni su Qilin e DragonForce, il che dimostra che probabilmente non sono più in buoni rapporti con questi gruppi.
Come possono le organizzazioni rilevare la loro presenza?
Monitorando le query di database anomale, gli accessi a GitHub e gli eventi di esfiltrazione dei dati su larga scala. Strumenti come Vectra AI possono identificare precocemente questi comportamenti.
Quali sono i settori più a rischio?
Tutte le organizzazioni che possiedono grandi insiemi di dati dei consumatori, in particolare i settori della vendita al dettaglio, del SaaS e dei servizi finanziari.
Quanto sono dannose le loro perdite?
Le situazioni di estrema gravità coinvolgono decine o centinaia di milioni di record, con conseguenti furti d'identità, furto di credenziali e perdite in termini di reputazione.
Qual è la migliore strategia di difesa?
Adottare solide pratiche di sicurezza dell'identità, monitorare i repository per le credenziali esposte e implementare Vectra AI per rilevare l'esfiltrazione anomala e l'abuso di credenziali in ambienti ibridi e cloud .