Il gruppo di hacker ShinyHunters si è rivendicato la responsabilità di una serie di violazioni che hanno colpito diversi importanti marchi globali, tra cui Mytheresa, Zara, Carnival e 7-Eleven, nell’ambito di una campagna in corso di “pay or leak”.
Secondo i rapporti, il gruppo afferma di aver ottenuto più di 9 milioni di record contenenti dati personali e interni. Gli aggressori minacciano di rendere pubbliche le informazioni se le aziende colpite non soddisferanno le richieste di riscatto entro una scadenza stabilita.
Le presunte vittime si estendono su diversi settori. Zara, di proprietà di Inditex, sarebbe stata colpita da un compromesso legato a un fornitore terzo, mentre l’esposizione di 7-Eleven è legata a una campagna rivolta ai sistemi Salesforce. Il caso Carnival potrebbe coinvolgere milioni di registri dei clienti, potenzialmente inclusi dati relativi ai viaggi.
Mytheresa, un rivenditore di moda di lusso, è stata anch’essa indicata tra le aziende interessate, anche se informazioni tecniche dettagliate su quella specifica violazione non sono state confermate pubblicamente. Come per gli altri episodi, la denuncia sembra seguire lo stesso modello di estorsione usato dal gruppo nelle campagne precedenti.
I ricercatori osservano che questi attacchi sfruttano sempre più i servizi di terze parti piuttosto che violare direttamente l’infrastruttura aziendale. Prendendo di mira fornitori condivisi o piattaforme cloud, gli attaccanti possono accedere a più organizzazioni contemporaneamente.
Il gruppo ShinyHunters è noto per rubare grandi dataset e per mettere pressione sulle aziende affinché paghino riscatti sotto minaccia di divulgazione pubblica. Questo approccio “prima l’estorsione” si concentra sull’esposizione dei dati piuttosto che sulla disorganizzazione del sistema, rendendo i metodi di recupero tradizionali come i backup meno efficaci.
Nessuna delle aziende coinvolte ha confermato la piena portata delle presunte violazioni o se le richieste di riscatto siano state soddisfatte. Le indagini sono in corso e l’autenticità e la portata dei dati rubati restano non verificate.