ShinyHunters
ShinyHunters ist eine berüchtigte Gruppe, die sich auf Datendiebstahl und Datenschutzverletzungen spezialisiert hat und im Jahr 2020 bekannt wurde, indem sie Millionen von Benutzerdaten von Unternehmen weltweit durchsickerte und verkaufte.
Der Ursprung von ShinyHunters
Im Gegensatz zu ransomware verschlüsselt ShinyHunters keine Systeme. Stattdessen konzentrieren sich ihre Operationen darauf, in Netzwerke einzudringen, Daten zu stehlen und diese über Untergrundforen oder Telegram-Kanäle zu Geld zu machen. Sie wurden mit hochkarätigen Lecks in Microsofts GitHub-Repositories, Tokopedia, Tokopedia, Bonobos und Dutzenden kleinerer Organisationen in Verbindung gebracht.
Die Gruppe ist für groß angelegte Einbrüche bekannt, bei denen regelmäßig Datenbanken mit Dutzenden von Millionen von Datensätzen auf Untergrundmarktplätzen auftauchen. Die Arbeitsweise von ShinyHunters ist eine Mischung aus finanzieller Erpressung, Markenschädigung und Rufschädigung, wassie zu einer ständigen Bedrohung für Unternehmen in verschiedenen Branchen macht.
Im August 2025 schloss ShinyHunters eine operative Partnerschaft mit LAPSUS$ und Scattered Spiderein und bilden das Erpresserkollektiv Scattered LAPSUS$ Hunters. Im Rahmen dieser Allianz stellt ShinyHunters eine Pipeline mit massiven gestohlenen Datenbanken und einer Infrastruktur für Einbrüche zur Verfügung und ergänzt damit das auf öffentliches Spektakel ausgerichtete Erpressungsmodell von LAPSUS$ und die ausgefeilten Social-Engineering- und SaaS-Einbruchsfähigkeiten von Scattered Spider. Diese Zusammenarbeit erweitert den Einfluss von ShinyHunters über die Untergrundmärkte hinaus ins Rampenlicht der Mainstream-Medien und ermöglicht es ihnen, den Lösegelddruck und die Rufschädigung zu verstärken und gleichzeitig den Umsatz zu steigern.
Länder im Visier von ShinyHunters
Global, mit Opfern in der ganzen Welt:
- Vereinigte Staaten
- Indien und Südostasien
- Europa (Frankreich, Deutschland, UK)
- Lateinamerika
Zielbranchen von ShinyHunters
Die Verstöße von ShinyHunters umfassen ein breites Spektrum, das sich in der Regel auf datenintensive Branchen konzentriert:
- Einzelhandel und E-Commerce (Tokopedia, Wattpad, Bonobos)
- Technologie & SaaS (Microsoft GitHub-Repositories)
- Finanzdienstleistungen (verschiedene Fintech- und bankbezogene Datenbanken)
- Lebensmittel und Getränke (Heimlieferplattformen, Restaurant-Apps)
- Gesundheits- und Verbraucherplattformen mit PII-reichen Datensätzen
Bekannte Opfer
- GitHub: Gestohlene Quellcode-Repositories
- Tokopedia: 91 Mio. Benutzerdaten durchgesickert
- Wattpad: 270 Millionen Datensätze gestohlen und geleakt
- Bonobos: 7 Millionen Kundendatensätze online verkauft
- Zahlreiche Lebensmittellieferungen und E-Commerce-Plattformen weltweit
ShinyHunters' Angriffsmethode
Nutzt falsch konfigurierte Anwendungen und schwache Anmeldeinformationen aus oder verschafft sich Zugang über Dark-Web-Broker.
Nutzt öffentlich verfügbare Exploits oder Fehlkonfigurationen in Webanwendungen und Datenbanken.
Verlassen sich auf Tarnung, indem sie sich oft in den legitimen Datenverkehr einmischen oder Sicherheitslücken cloud ausnutzen.
Zielt auf GitHub, cloud und interne Datenbanken und sammelt Benutzeranmeldeinformationen.
Kartiert zugängliche Datenbanken und interne Repositories.
Erweitert den Zugriff von Webanwendungen auf Backend-Datenbanken und Code-Repositories.
Exfiltriert große Datensätze mit personenbezogenen Daten, Finanzinformationen und Quellcode.
Führt einfache Datenextraktionsskripte und automatisierte Crawler aus, um den Datendiebstahl zu maximieren.
Übermittlung gestohlener Datensätze an Untergrundforen und Telegram-Kanäle.
Verursacht Rufschädigung durch Massenlecks, Erpressungsversuche und den Verkauf von Daten-Dumps.
Nutzt falsch konfigurierte Anwendungen und schwache Anmeldeinformationen aus oder verschafft sich Zugang über Dark-Web-Broker.
Nutzt öffentlich verfügbare Exploits oder Fehlkonfigurationen in Webanwendungen und Datenbanken.
Verlassen sich auf Tarnung, indem sie sich oft in den legitimen Datenverkehr einmischen oder Sicherheitslücken cloud ausnutzen.
Zielt auf GitHub, cloud und interne Datenbanken und sammelt Benutzeranmeldeinformationen.
Kartiert zugängliche Datenbanken und interne Repositories.
Erweitert den Zugriff von Webanwendungen auf Backend-Datenbanken und Code-Repositories.
Exfiltriert große Datensätze mit personenbezogenen Daten, Finanzinformationen und Quellcode.
Führt einfache Datenextraktionsskripte und automatisierte Crawler aus, um den Datendiebstahl zu maximieren.
Übermittlung gestohlener Datensätze an Untergrundforen und Telegram-Kanäle.
Verursacht Rufschädigung durch Massenlecks, Erpressungsversuche und den Verkauf von Daten-Dumps.
Von ShinyHunters verwendete TTPs
Wie man ShinyHunters mit Vectra AI AI aufspürt
Häufig gestellte Fragen
Setzt ShinyHunters ransomware ein?
Nein. Im Gegensatz zu vielen eCrime-Gruppen konzentrieren sie sich ausschließlich auf Datendiebstahl und -lecks, nicht auf die Verschlüsselung von Dateien.
Wie verdient ShinyHunters Geld?
Durch den Verkauf gestohlener Datenbanken in Untergrundforen und Telegram-Kanälen oder durch Erpressung von Unternehmen.
Welche Art von Daten stehlen sie?
In erster Linie PII, Anmeldedaten, Finanzdaten und Quellcode-Repositories.
Handelt es sich um gezielte oder opportunistische Verstöße?
Meistens opportunistisch, indem sie verwundbare oder schlecht gesicherte Systeme ausnutzen, um ein maximales Datenvolumen zu erhalten.
Arbeiten sie mit Insidern zusammen?
Im Gegensatz zu LAPSUS$ gibt es weniger Beweise für die Anwerbung von Insidern; sie stützen sich eher auf technische Verstöße.
Wie ist ihr Verhältnis zu anderen Gruppen?
Sie haben sich jetzt mit LAPSUS$ und Scattered Spider unter der Marke "Scattered LAPSUS$ Hunters" zusammengeschlossen. Sie geben auch Informationen über Qilin und DragonForce weiter, was zeigt, dass sie sich mit diesen Gruppen wahrscheinlich nicht mehr gut verstehen.
Wie können Unternehmen ihre Anwesenheit erkennen?
Durch die Überwachung von abnormalen Datenbankabfragen, GitHub-Zugriffen und groß angelegten Datenexfiltrationsereignissen. Tools wie Vectra AI können diese Verhaltensweisen frühzeitig erkennen.
Welche Branchen sind am meisten gefährdet?
Jedes Unternehmen, das über große Verbraucherdatenbestände verfügt, insbesondere Einzelhandel, SaaS und Finanzdienstleistungen.
Wie schädlich sind ihre Lecks?
In extrem vielen Fällen handelt es sich um Dutzende oder Hunderte von Millionen von Datensätzen, die zu Identitätsdiebstahl, Ausfüllen von Anmeldedaten und Rufschädigung führen können.
Was ist die beste Verteidigungsstrategie?
Führen Sie strenge Verfahren für die Identitätssicherheit ein, überwachen Sie Repositories auf offengelegte Anmeldeinformationen und stellen Sie Vectra AI um abnormale Exfiltration und Missbrauch von Anmeldeinformationen in hybriden und cloud zu erkennen.