Thought Leadership
Die Hackergruppe ShinyHunters baut ihre Darknet-Plattform aus. Trotz internationaler Verhaftungen droht die Bande mit dauerhaften Datenveröffentlichungen.
Die kriminelle Erpressergruppe ShinyHunters hat eine umfassende Aktualisierung ihrer technischen Infrastruktur im Darknet bekannt gegeben. Um den Zugriff auf gestohlene Datensätze zu beschleunigen und stabiler zu gestalten, setzt die Gruppierung ab sofort auf mehrere gespiegelte Download-Server sowie die Verteilung von Dateien über Torrent-Netzwerke.
Ein neu eingeführtes Warteschlangensystem, das auf einem Proof-of-Work-Verfahren basiert, zwingt die Computer von Datenabrufern vor dem Download zur Lösung einer kleinen Rechenaufgabe. Dadurch sollen Überlastungen bei hohem Datenverkehr verhindert werden, wie sie regelmäßig nach der Bekanntgabe prominenter Opfer auftreten. Die Gruppe versicherte, dass bei der Umstellung keine Daten verloren gingen und erklärte zu den erbeuteten Datensätzen: „Diese Dateien werden bis ans Ende der Zeit mit Leichtigkeit öffentlich zugänglich bleiben.“
Wandel zu einer resilienten Cyberkriminalitäts-Marke ShinyHunters
Die Modernisierung der Infrastruktur fällt mit der Veröffentlichung eines neuen Berichts des Sicherheitsunternehmens Cato Networks zusammen. Die Analysten betonen, dass sich ShinyHunters seit den ersten Aktivitäten im Jahr 2019 von einer einfachen Hackergruppe zu einer anpassungsfähigen kriminellen Marke entwickelt hat. Die Struktur übersteht Ermittlungserfolge von Strafverfolgungsbehörden wie die Beschlagnahmung der Foren RaidForums und BreachForums, die Verurteilung des mutmäßlichen Gründers Sébastien Raoult im Jahr 2023 sowie Festnahmen führender Administratoren in Frankreich. Die Organisation formierte sich im Jahr 2025 zudem neu und bildet mit anderen Akteuren das Netzwerk Scattered LAPSUS$ Hunters, das Methoden der sozialen Manipulation mit aggressiven Erpressungstaktiken kombiniert.
Verschiebung der Angriffstaktiken auf Cloud-Dienste
Das operative Vorgehen der Gruppe hat sich von klassischen Datenbank-Infiltrationen hin zum Missbrauch von Geschäftslogiken und Cloud-Strukturen verlagert. Die Angreifer nutzen zunehmend Schwachstellen in Software-as-a-Service-Integrationen, kompromittierte OAuth-Tokens und gezielte Täuschungsmanöver beim IT-Support von Unternehmen aus. Seit September vergangenen Jahres verzeichnet die Gruppe eine steigende Anzahl prominenter Opfer. Dazu zählen Kampagnen gegen falsch konfigurierte Salesforce-Instanzen sowie das Ausnutzen einer Zero-Day-Sicherheitslücke in der Software Oracle PeopleSoft im Juni 2026.
Zu den jüngst betroffenen Organisationen und Unternehmen gehören Kodak, JCPenney, Madison Square Garden, Sysco, die Europäische Kommission und der Bildungsdienstleister Canvas von Instructure. Zuletzt listete die Gruppe den Gesundheitsanbieter One Medical auf und drohte mit der Veröffentlichung von 8,8 Terabyte an Daten, sollte das Unternehmen einer Kontaktaufnahme bis zum 22. Juni nicht nachkommen.
(red)
