Die Hackergruppe ShinyHunters hat die Verantwortung für eine Reihe von Sicherheitsverletzungen übernommen, die mehrere große globale Marken betreffen, darunter Mytheresa, Zara, Carnival und 7-Eleven, im Rahmen einer laufenden “Pay or Leak”-Kampagne.
Berichten zufolge hat die Gruppe mehr als 9 Millionen Datensätze mit persönlichen und internen Daten erhalten. Die Angreifer drohen, die Informationen öffentlich zu veröffentlichen, falls die betroffenen Unternehmen die Lösegeldforderungen nicht bis zu einer festgelegten Frist erfüllen.
Die mutmaßlichen Opfer erstrecken sich über mehrere Branchen. Zara, im Besitz von Inditex, soll durch einen Kompromiss mit einem Drittanbieter betroffen sein, während die Exposition von 7-Eleven mit einer Kampagne gegen Salesforce-Systeme verknüpft ist. Der Fall Carnival könnte Millionen von Kundendaten umfassen, möglicherweise auch reisebezogene Informationen.
Mytheresa, ein Luxusmodehändler, wurde ebenfalls unter den betroffenen Unternehmen genannt, obwohl detaillierte technische Informationen zu diesem konkreten Vorfall nicht öffentlich bestätigt wurden. Wie bei den anderen Vorfällen scheint die Behauptung dem gleichen Erpressungsmodell zu folgen, das die Gruppe in früheren Kampagnen verwendet hat.
Forscher stellen fest, dass diese Angriffe zunehmend Drittanbieterdienste ausnutzen, anstatt direkt die Unternehmensinfrastruktur zu knacken. Indem sie gemeinsame Anbieter oder Cloud-Plattformen angreifen, können Angreifer gleichzeitig Zugang zu mehreren Organisationen erhalten.
Die ShinyHunters-Gruppe ist dafür bekannt, große Datensätze zu stehlen und Unternehmen unter Druck zu setzen, Lösegeldzahlungen unter Androhung öffentlicher Offenlegung zu leisten. Dieser “Erpressungszuerst”-Ansatz konzentriert sich auf Datenexposition statt auf Systemstörungen, was traditionelle Wiederherstellungsmethoden wie Backups weniger effektiv macht.
Keines der betroffenen Unternehmen hat das volle Ausmaß der angeblichen Verstöße bestätigt oder ob Lösegeldforderungen erfüllt wurden. Die Ermittlungen laufen noch, und die Echtheit und das Ausmaß der gestohlenen Daten sind weiterhin nicht bestätigt.