ShinyHunters
Überblick
ShinyHunters ist eine finanziell motivierte Gruppierung, die sich auf Datendiebstahl und Erpressung spezialisiert hat. Im Mittelpunkt ihres Vorgehens steht das Entwenden großer Datenbestände, die anschließend zur Erpressung der betroffenen Organisationen genutzt werden. Bekanntheit erlangte die Gruppe durch eine Reihe schwerwiegender Sicherheitsvorfälle, bei denen umfangreiche Datenmengen abgeflossen sind, unter anderem über Zugänge zu cloudbasierten Datenplattformen. Im weiteren Verlauf erweiterte die Gruppe ihr Tätigkeitsfeld und brachte ein eigenes Ransomware-as-a-Service-Angebot unter der Bezeichnung „shinysp1d3r“ auf den Markt, mit dem auch Dritte für Angriffe ausgestattet werden können. Gegen mehrere mutmaßliche Mitglieder gingen Strafverfolgungsbehörden vor und nahmen sie fest. Charakteristisch für ShinyHunters ist die konsequente Ausrichtung auf den Diebstahl verwertbarer Unternehmensdaten sowie die Bereitschaft, das erbeutete Material als Druckmittel einzusetzen und über die Bereitstellung von Werkzeugen weitere Akteure einzubinden.
Taktiken & Vorgehen
Für den Erstzugang durchsucht die Gruppe Code-Repositories wie GitHub und Bitbucket gezielt nach offengelegten API-Schlüsseln und OAuth-Tokens (Secret Hunting). Ergänzend kommt Spearphishing per Sprachanruf (Vishing) zum Einsatz: Anrufer geben sich gegenüber dem Helpdesk als Beschäftigte aus, um Passwort-Rücksetzungen oder eine Umgehung der Mehr-Faktor-Authentisierung zu erwirken. Zur dauerhaften Präsenz nutzt ShinyHunters bösartige „Connected“-OAuth-Anwendungen, um ohne Passwörter Zugriff auf Salesforce- und Microsoft-365-Umgebungen zu behalten. Aus Informationsspeichern wie Confluence, Jira und SharePoint werden interne Dokumentation und im Klartext abgelegte Zugangsdaten gesammelt. Die Exfiltration erfolgt über legitime Cloud-Werkzeuge und native APIs, mit denen Daten aus CRM-Systemen wie Salesforce zu C2-Servern abgezogen werden. Daneben werden Spearphishing-Anhänge zur Informationsgewinnung sowie die Verschlüsselung von Daten genutzt.
Schutzmaßnahmen
Code-Repositories wie GitHub und Bitbucket sollten kontinuierlich auf offengelegte API-Schlüssel und OAuth-Tokens überwacht und kompromittierte Geheimnisse umgehend rotiert werden. Helpdesk-Prozesse sollten gegen Vishing gehärtet werden, indem Passwort-Rücksetzungen und Änderungen an der Mehr-Faktor-Authentisierung nur nach gesicherter Identitätsprüfung erfolgen. Angebundene OAuth-Anwendungen in Salesforce- und Microsoft-365-Umgebungen sollten regelmäßig überprüft, eingeschränkt und nicht benötigte Verbindungen entzogen werden. Der Zugriff auf Informationsspeicher wie Confluence, Jira und SharePoint sollte protokolliert und im Klartext abgelegte Zugangsdaten beseitigt werden. Zudem sollte der Datenabfluss aus CRM-Systemen über native APIs durch Überwachung ungewöhnlicher Exfiltrationsmuster erkannt werden.
Chronologie
- 03.10.2025 Erste bekannte Aktivität
- 14.06.2026 Zuletzt aktiv
Erwähnt in
- ShinyHunters nutzt Zero-Day in Oracle PeopleSoft gegen Hochschulen aus 11.06.2026
- Oracle warnt vor aktiv ausgenutzter Zero-Day-Lücke in PeopleSoft 11.06.2026
- Oracle veröffentlicht Gegenmaßnahmen für kritische PeopleSoft-Lücke amid Berichten über Zero-Day-Angriffe 11.06.2026
- University of Nottingham bestätigt Cybervorfall nach Datenraub-Behauptung von ShinyHunters 11.06.2026
- University of Nottingham bestätigt Datenleck nach Veröffentlichung durch ShinyHunters 11.06.2026
- ShinyHunters greifen Oracle-PeopleSoft-Server in Datendiebstahlkampagne an 11.06.2026
- ShinyHunters veröffentlicht gestohlene Charter-Daten: bis zu 4,9 Millionen Betroffene 29.05.2026
- Carnival bestätigt Datenleck: Daten von fast 6 Millionen Menschen betroffen 28.05.2026
- Datenleck bei Carnival: Persönliche Daten von rund 6 Millionen Menschen gestohlen 28.05.2026
- 7-Eleven: Datenleck nach Salesforce-Angriff betrifft rund 185.000 Personen 26.05.2026
- Datenleck bei 7-Eleven: ShinyHunters erbeutet Daten von 185.000 Menschen 26.05.2026
- FBI warnt vor Phishing-Dienst Kali365 gegen Microsoft-365-Konten 25.05.2026
- 7-Eleven bestätigt Datenleck nach Erpresserforderung von ShinyHunters 20.05.2026
- 7-Eleven bestätigt Datenleck nach Angriff der Gruppe ShinyHunters 19.05.2026
- Grafana Labs: Gestohlenes GitHub-Token ermöglichte Diebstahl des Quellcodes 18.05.2026
- Grafana: Angreifer lädt mit gestohlenem GitHub-Token Quellcode herunter und versucht Erpressung 17.05.2026
- US-Heimatschutzausschuss verlangt Aufklärung von Instructure zu Canvas-Angriff und Datenleck 13.05.2026
- US-Kongressausschuss fordert Aussage von Instructure zu Canvas-Angriffen 13.05.2026
- Canvas-Betreiber Instructure schließt Deal mit Hackern zur Löschung gestohlener Daten 12.05.2026
- Wenn Technik versagt: Warum geschulte Mitarbeiter die einzige Verteidigung gegen viele Cyberangriffe sind 11.05.2026