Shai-Hulud Part 2: When the Worm Forged Its Own Security Certificate
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per il Network Detection and Response (NDR) del 2025
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Gruppo di ransomware

ShinyHunters

  1. Stato:
    Attivo
  1. Stato:
    Attivo

ShinyHunters è un noto gruppo specializzato nel furto di dati e nelle violazioni di sicurezza, salito alla ribalta nel 2020 per aver divulgato e venduto milioni di dati relativi agli utenti di aziende di tutto il mondo.

Individuare le TTP degli ShinyHunters
La tua organizzazione è al sicuro dagli attacchi del ransomware ShinyHunters?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
Domande frequenti
Guarda il briefing sulle minacce
CONTESTO
PAESI
SETTORI
VITTIME

L'origine di ShinyHunters

A differenza dei gruppi di ransomware, ShinyHunters non crittografa i sistemi. Le loro operazioni si concentrano invece sulla violazione delle reti, sul furto di dati e sulla loro commercializzazione tramite forum clandestini o canali Telegram. Sono stati collegati a fughe di notizie di grande risonanza dai repository GitHub di Microsoft, da Tokopedia, Bonobos e da decine di organizzazioni minori.

Il gruppo è noto per le violazioni su larga scala, con database contenenti decine di milioni di record che compaiono regolarmente sui mercati clandestini. Lo stile operativo di ShinyHunters combina estorsione finanziaria, danneggiamento dell'immagine del marchio e costruzione della propria reputazione,rendendolo una minaccia persistente per le aziende di diversi settori.

Nell'agosto 2025, ShinyHunters ha stretto una partnership operativa con LAPSUS$ e Scattered Spider, formando il collettivo di ricattatori Scattered LAPSUS$ Hunters. In questa alleanza, ShinyHunters fornisce un flusso costante di enormi database rubati e infrastrutture di violazione, integrando il modello di estorsione di LAPSUS$ basato sullo spettacolo pubblico e le sofisticate competenze di ingegneria sociale e intrusione SaaS Scattered Spider. Questa collaborazione espande l'influenza di ShinyHunters oltre i mercati clandestini, portandola sotto i riflettori dei media mainstream, consentendo loro di amplificare la pressione del riscatto e il danno alla reputazione, accelerando al contempo la monetizzazione.

Paesi interessati da ShinyHunters

A livello mondiale, con vittime in:

  • Stati Uniti
  • India e Sud-Est asiatico
  • Europa (Francia, Germania, Regno Unito)
  • America Latina

Settori di riferimento di ShinyHunters

Le violazioni di ShinyHunters coprono un ampio spettro e riguardano in genere settori ricchi di dati:

  • Vendita al dettaglio ed e-commerce (Tokopedia, Wattpad, Bonobos)
  • Tecnologia e SaaS (repository GitHub di Microsoft)
  • Servizi finanziari (varie banche dati relative al settore fintech e bancario)
  • Settore alimentare e delle bevande (piattaforme di consegna a domicilio, app per ristoranti)
  • Piattaforme sanitarie e di consumo con set di dati ricchi di informazioni personali identificative

Retail and Wholesale

Healthcare

Financial Services and Banking

Vittime accertate

  • GitHub: Repository di codice sorgente rubati
  • Tokopedia: trapelati 91 milioni di dati degli utenti
  • Wattpad: 270 milioni di dati rubati e divulgati
  • Bonobos: 7 milioni di dati dei clienti venduti online
  • Numerose piattaforme di consegna di cibo a domicilio e di e-commerce in tutto il mondo
Metodo di attacco

Il metodo di attacco degli ShinyHunters

Accesso iniziale
Escalation dei privilegi
Resistenza ed elusione delle difese
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.

Sfrutta applicazioni configurate in modo errato o credenziali deboli, oppure ottiene l'accesso tramite intermediari del dark web.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.

Sfrutta vulnerabilità note o configurazioni errate nelle applicazioni web e nei database.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Si basa sulla discrezione, spesso mimetizzandosi nel traffico legittimo o sfruttando le falle cloud .

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.

Prende di mira GitHub, cloud e i database interni; raccoglie le credenziali degli utenti.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.

Mappa dei database accessibili e degli archivi interni.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.

Amplia l'accesso dalle applicazioni web ai database di backend e ai repository di codice.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Estrae set di dati su larga scala contenenti informazioni personali identificative, dati finanziari e codice sorgente.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Esegue semplici script di estrazione dati e crawler automatizzati per massimizzare il furto di dati.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.

Trasferisce i set di dati rubati su forum clandestini e canali Telegram.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.

Provoca danni alla reputazione attraverso fughe di notizie su larga scala, tentativi di estorsione e la vendita di archivi di dati.

Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Sfrutta applicazioni configurate in modo errato o credenziali deboli, oppure ottiene l'accesso tramite intermediari del dark web.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.
Escalation dei privilegi

Sfrutta vulnerabilità note o configurazioni errate nelle applicazioni web e nei database.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Evasione difensiva

Si basa sulla discrezione, spesso mimetizzandosi nel traffico legittimo o sfruttando le falle cloud .

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.
Accesso alle credenziali

Prende di mira GitHub, cloud e i database interni; raccoglie le credenziali degli utenti.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.
Scoperta

Mappa dei database accessibili e degli archivi interni.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.
Movimento laterale

Amplia l'accesso dalle applicazioni web ai database di backend e ai repository di codice.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Estrae set di dati su larga scala contenenti informazioni personali identificative, dati finanziari e codice sorgente.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Esegue semplici script di estrazione dati e crawler automatizzati per massimizzare il furto di dati.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.
Esfiltrazione

Trasferisce i set di dati rubati su forum clandestini e canali Telegram.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.
Impatto

Provoca danni alla reputazione attraverso fughe di notizie su larga scala, tentativi di estorsione e la vendita di archivi di dati.

MITRE ATT&CK

TTP utilizzati dagli ShinyHunters

TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1078
Valid Accounts
TA0006: Credential Access
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1213
Data from Information Repositories
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma

Come individuare gli ShinyHunters con Vectra AI

Data Gathering

SQL Injection Activity

Suspicious Admin

Visualizza altri rilevamenti
Valuta la tua vulnerabilità agli attacchi

La tua organizzazione è al sicuro dagli attacchi del ransomware ShinyHunters?

Valuta la tua vulnerabilità agli attacchi

Domande frequenti

ShinyHunters distribuisce ransomware?

In che modo ShinyHunters guadagna?

Che tipo di dati rubano?

Si tratta di violazioni mirate o opportunistiche?

Collaborano con persone interne all'azienda?

Qual è il loro rapporto con gli altri gruppi?

In che modo le organizzazioni possono rilevarne la presenza?

Quali sono i settori più a rischio?

Quanto sono gravi le loro fughe di notizie?

Qual è la migliore strategia difensiva?