El grupo de hackers ShinyHunters ha reivindicado la responsabilidad de una serie de brechas que afectan a varias marcas globales importantes, incluyendo Mytheresa, Zara, Carnival y 7-Eleven, como parte de una campaña continua de “pagar o filtrarse”.
Según los informes, el grupo afirma haber obtenido más de 9 millones de registros que contienen datos personales e internos. Los atacantes amenazan con hacer pública la información si las empresas objetivo no cumplen con las demandas de rescate dentro de un plazo establecido.
Las presuntas víctimas abarcan múltiples sectores. Se dice que Zara, propiedad de Inditex, se vio afectada por un compromiso vinculado a un proveedor externo, mientras que la exposición de 7-Eleven está vinculada a una campaña dirigida a sistemas de Salesforce. El caso de Carnival podría implicar millones de registros de clientes, potencialmente incluyendo información relacionada con viajes.
Mytheresa, un minorista de moda de lujo, también fue incluido entre las empresas afectadas, aunque no se ha confirmado públicamente información técnica detallada sobre esa brecha específica. Como en los otros incidentes, la afirmación parece seguir el mismo modelo de extorsión utilizado por el grupo en campañas anteriores.
Los investigadores señalan que estos ataques explotan cada vez más servicios de terceros en lugar de vulnerar directamente la infraestructura de la empresa. Al dirigirse a proveedores compartidos o plataformas en la nube, los atacantes pueden acceder a múltiples organizaciones a la vez.
El grupo ShinyHunters es conocido por robar grandes conjuntos de datos y presionar a las empresas para que paguen rescates bajo amenaza de divulgación pública. Este enfoque de “extorsión primero” se centra en la exposición de datos en lugar de en la interrupción del sistema, haciendo que los métodos tradicionales de recuperación como las copias de seguridad sean menos efectivos.
Ninguna de las empresas afectadas ha confirmado el alcance total de las supuestas violaciones ni si se han cumplido las demandas de rescate. Las investigaciones continúan y la autenticidad y la magnitud de los datos robados siguen sin verificarse.