O grupo de hackers ShinyHunters reivindicou a responsabilidade por uma série de violações que afetaram várias grandes marcas globais, incluindo Mytheresa, Zara, Carnival e 7-Eleven, como parte de uma campanha contínua de “pagar ou vazar”.
Segundo relatos, o grupo afirma ter obtido mais de 9 milhões de registros contendo dados pessoais e internos. Os atacantes ameaçam divulgar as informações publicamente se as empresas alvo não cumprirem as exigências de resgate dentro de um prazo estabelecido.
As supostas vítimas abrangem vários setores. A Zara, pertencente à Inditex, teria sido impactada por meio de um compromisso vinculado a um provedor terceirizado, enquanto a exposição da 7-Eleven está ligada a uma campanha voltada para sistemas Salesforce. O caso da Carnival pode envolver milhões de registros de clientes, potencialmente incluindo informações relacionadas a viagens.
A Mytheresa, uma varejista de moda de luxo, também foi citada entre as empresas afetadas, embora informações técnicas detalhadas sobre essa violação específica não tenham sido confirmadas publicamente. Como nos outros incidentes, a alegação parece seguir o mesmo modelo de extorsão usado pelo grupo em campanhas anteriores.
Pesquisadores observam que esses ataques exploram cada vez mais serviços de terceiros em vez de invadir diretamente a infraestrutura da empresa. Ao mirar fornecedores compartilhados ou plataformas em nuvem, os atacantes podem acessar múltiplas organizações ao mesmo tempo.
O grupo ShinyHunters é conhecido por roubar grandes conjuntos de dados e pressionar empresas a pagarem resgates sob ameaça de divulgação pública. Essa abordagem de “extorsão em primeiro lugar” foca na exposição de dados em vez da interrupção do sistema, tornando métodos tradicionais de recuperação, como backups, menos eficazes.
Nenhuma das empresas afetadas confirmou a extensão total das supostas violações ou se as exigências de resgate foram atendidas. As investigações continuam em andamento, e a autenticidade e a escala dos dados roubados ainda não foram verificadas.