De hackgroep ShinyHunters heeft de verantwoordelijkheid opgeëist voor een reeks datalekken die verschillende grote wereldwijde merken treffen, waaronder Mytheresa, Zara, Carnival en 7-Eleven, als onderdeel van een lopende “pay or leak”-campagne.
Volgens berichten zegt de groep dat ze meer dan 9 miljoen gegevens heeft verkregen met persoonlijke en interne gegevens. De aanvallers dreigen de informatie openbaar te maken als de getroffen bedrijven niet aan de losgeldeisen voldoen binnen een vastgestelde deadline.
De vermeende slachtoffers bestrijken meerdere sectoren. Zara, eigendom van Inditex, zou zijn getroffen door een compromis dat gekoppeld is aan een derde partij, terwijl de blootstelling van 7-Eleven gekoppeld is aan een campagne gericht op Salesforce-systemen. De zaak van Carnival kan miljoenen klantgegevens bevatten, mogelijk inclusief reisgerelateerde informatie.
Mytheresa, een luxe modewinkel, werd ook genoemd als een van de getroffen bedrijven, hoewel gedetailleerde technische informatie over die specifieke inbreuk niet openbaar is bevestigd. Net als bij de andere incidenten lijkt de claim hetzelfde afpersingsmodel te volgen dat de groep in eerdere campagnes gebruikte.
Onderzoekers merken op dat deze aanvallen steeds vaker gebruik maken van externe diensten in plaats van direct de bedrijfsinfrastructuur te breken. Door gedeelde leveranciers of cloudplatforms te targeten, kunnen aanvallers toegang krijgen tot meerdere organisaties tegelijk.
De ShinyHunters-groep staat bekend om het stelen van grote datasets en het onder druk zetten van bedrijven om losgeld te betalen onder dreiging van openbaarmaking. Deze “eerst afpersing”-benadering richt zich op datablootstelling in plaats van systeemverstoring, waardoor traditionele herstelmethoden zoals back-ups minder effectief zijn.
Geen van de getroffen bedrijven heeft de volledige omvang van de vermeende inbreuken bevestigd of of losgeldeisen zijn ingewilligd. Onderzoeken zijn gaande en de authenticiteit en omvang van de gestolen gegevens zijn nog niet geverifieerd.