Cacciatori di tesori
ShinyHunters è un noto gruppo specializzato nel furto e nella violazione di dati che è salito alla ribalta nel 2020 divulgando e vendendo milioni di record di utenti provenienti da aziende di tutto il mondo.
L'origine di ShinyHunters
A differenza dei gruppi ransomware, ShinyHunters non crittografa i sistemi. Le loro operazioni si concentrano invece sulla violazione delle reti, il furto di dati e la loro monetizzazione tramite forum clandestini o canali Telegram. Sono stati collegati a fughe di notizie di alto profilo dai repository GitHub di Microsoft, Tokopedia, Bonobos e decine di organizzazioni minori.
Il gruppo è noto per violazioni su larga scala, con database contenenti decine di milioni di record che compaiono regolarmente sui mercati clandestini. Lo stile operativo di ShinyHunters combina estorsione finanziaria, danneggiamento del marchio e costruzione della reputazione,rendendolo una minaccia persistente per le aziende di diversi settori.
Nell'agosto 2025, ShinyHunters ha stretto una partnership operativa con LAPSUS$ e Scattered Spider, formando il collettivo di estorsori Scattered LAPSUS$ Hunters. In questa alleanza, ShinyHunters fornisce un canale di enormi database rubati e infrastrutture di violazione, integrando il modello di estorsione basato sullo spettacolo pubblico di LAPSUS$ e le sofisticate competenze di ingegneria sociale e intrusione SaaS Scattered Spider. Questa collaborazione espande l'influenza di ShinyHunters oltre i mercati clandestini, portandola sotto i riflettori dei media mainstream, consentendo loro di amplificare la pressione del riscatto e il danno alla reputazione, accelerando al contempo la monetizzazione.
Paesi presi di mira da ShinyHunters
Globale, con vittime in tutto il mondo:
- Stati Uniti
- India e Sud-Est asiatico
- Europa (Francia, Germania, Regno Unito)
- America Latina
Settori presi di mira da ShinyHunters
Le violazioni di ShinyHunters coprono un ampio spettro, concentrandosi in genere sui settori ricchi di dati:
- Vendita al dettaglio ed e-commerce (Tokopedia, Wattpad, Bonobos)
- Tecnologia e SaaS (repository GitHub di Microsoft)
- Servizi finanziari (vari database relativi alla tecnologia finanziaria e al settore bancario)
- Cibo e bevande (piattaforme di consegna a domicilio, app di ristoranti)
- Piattaforme sanitarie e di consumo con set di dati ricchi di informazioni personali identificabili (PII)
Vittime note
- GitHub: repository di codice sorgente rubati
- Tokopedia: trapelati i dati di 91 milioni di utenti
- Wattpad: 270 milioni di record rubati e divulgati
- Bonobos: 7 milioni di dati dei clienti venduti online
- Numerose piattaforme di consegna di cibo a domicilio ed e-commerce a livello globale
Metodo di attacco degli ShinyHunters
Sfrutta applicazioni configurate in modo errato, credenziali deboli o ottiene l'accesso tramite broker del dark web.
Utilizza exploit disponibili pubblicamente o configurazioni errate nelle applicazioni web e nei database.
Si basa sulla furtività, spesso confondendosi con il traffico legittimo o sfruttando le debolezze cloud .
Prende di mira GitHub, cloud e database interni; raccoglie le credenziali degli utenti.
Mappe accessibili a database e archivi interni.
Amplia l'accesso dalle applicazioni web ai database backend e ai repository di codice.
Esporta set di dati su larga scala contenenti informazioni personali identificabili, informazioni finanziarie e codice sorgente.
Esegue semplici script di estrazione dati e crawler automatizzati per massimizzare il furto di dati.
Trasferisce set di dati rubati su forum clandestini e canali Telegram.
Causa danni alla reputazione tramite fughe di notizie di massa, tentativi di estorsione e vendita di archivi di dati.
Sfrutta applicazioni configurate in modo errato, credenziali deboli o ottiene l'accesso tramite broker del dark web.
Utilizza exploit disponibili pubblicamente o configurazioni errate nelle applicazioni web e nei database.
Si basa sulla furtività, spesso confondendosi con il traffico legittimo o sfruttando le debolezze cloud .
Prende di mira GitHub, cloud e database interni; raccoglie le credenziali degli utenti.
Mappe accessibili a database e archivi interni.
Amplia l'accesso dalle applicazioni web ai database backend e ai repository di codice.
Esporta set di dati su larga scala contenenti informazioni personali identificabili, informazioni finanziarie e codice sorgente.
Esegue semplici script di estrazione dati e crawler automatizzati per massimizzare il furto di dati.
Trasferisce set di dati rubati su forum clandestini e canali Telegram.
Causa danni alla reputazione tramite fughe di notizie di massa, tentativi di estorsione e vendita di archivi di dati.
TTP utilizzati da ShinyHunters
Come rilevare ShinyHunters con Vectra AI
Domande frequenti
ShinyHunters distribuisce ransomware?
No. A differenza di molti gruppi di criminali informatici, si concentrano esclusivamente sul furto e sulla divulgazione di dati, non sulla crittografia dei file.
Come guadagnano gli ShinyHunters?
Vendendo database rubati su forum clandestini e canali Telegram, oppure ricattando le aziende.
Che tipo di dati rubano?
Principalmente PII, credenziali di accesso, dati finanziari e repository di codice sorgente.
Le loro violazioni sono mirate o opportunistiche?
Principalmente opportunistico, sfrutta sistemi vulnerabili o scarsamente protetti per ottenere il massimo volume di dati.
Lavorano con persone interne?
A differenza di LAPSUS$, ci sono meno prove di reclutamento di insider; essi fanno maggiormente affidamento su violazioni tecniche.
Qual è il loro rapporto con gli altri gruppi?
Ora hanno stretto una partnership con LAPSUS$ e Scattered Spider sotto il marchio "Scattered LAPSUS$ Hunters. Stanno anche divulgando informazioni su Qilin e DragonForce, il che dimostra che probabilmente non sono più in buoni rapporti con questi gruppi.
Come possono le organizzazioni rilevarne la presenza?
Monitorando le query anomale del database, l'accesso a GitHub e gli eventi di esfiltrazione di dati su larga scala. Strumenti come Vectra AI possono identificare tempestivamente questi comportamenti.
Quali sono i settori più a rischio?
Qualsiasi organizzazione che possiede grandi quantità di dati relativi ai consumatori, in particolare nel settore della vendita al dettaglio, SaaS e dei servizi finanziari.
Quanto sono dannose le loro fughe di notizie?
Estremamente: molti riguardano decine o centinaia di milioni di record, causando furti di identità, credential stuffing e perdita di reputazione.
Qual è la migliore strategia difensiva?
Adotta solide pratiche di sicurezza dell'identità, monitora gli archivi alla ricerca di credenziali esposte e implementa Vectra AI per rilevare esfiltrazioni anomale e abusi di credenziali in cloud ibridi e cloud .