Wie of wat is ShinyHunters, de hackgroep van Odido?

Allereest de huidige stand van zaken: ShinyHunters heeft de aanval op Odido geclaimd en losgeld geëist. Odido weigerde dat te betalen, waarna de groep de eerste batch openbaar maakte. Daarvoor wisten we al zeker dat de groep achter de aanval zat, omdat ze bij meerdere media waren langsgegaan met bewijs. De ShinyHunters staan bekend om deze modus operandi.

Wie of wat is ShinyHunters?

ShinyHunters dook rond 2020 op in het cybercriminele circuit en werd snel bekend door het grootschalig aanbieden van gestolen databases. Nee, Odido is niet de eerste; de groep werd bekend door zo'n 200 miljoen accounts bij 13 bedrijven weg te kapen.

ShinyHunters viel op door deze reeks aan high-volume databreaches en de verkoop van persoongegevens. Ze staan bekend om hun leak & distortion methode en hebben nu dus een gigantische buit in Nederland weten te maken.

Hoe opereert ShinyHunters doorgaans?

Waar klassieke ransomwaregroepen systemen platleggen met encryptie, zit dat bij ShinyHunters net anders. De groep volgt over het algemeen dit patroon:
 

1. Exfiltratie (data buitmaken)
2. Afpersing (“betaal of we publiceren”)
3. Publicatie / verkoop als drukmiddel én verdienmodel

Dat patroon zie je nu ook terug bij Odido; nu het telecombedrijf niet wil betalen, wordt de data langzaam maar zeker gepubliceerd.

ShinyHunters en de Odido-buit

Het is dan ook te voorspellen wat er nu gaat gebeuren. De bedoelingen van ShinyHunters zijn in drievoud te beschrijven:

1. Losgeld binnenhalen

Deze is logisch. ShinyHunters heeft losgeld geëist, en zo verdienen ze aan het lek. Odido heeft nu dus al gezegd dat ze dat niet gaan betalen, waardoor ShinyHunters direct over gaat op een volgend doel.

2. (Door)verkoop in het criminele circuit

ShinyHunters staat er niet om bekend dat het zelf phishingaanvallen op mensen uitvoert. Wat de groep wel doet, is de data verkopen en daarmee (andere) criminelen de mogelijkheid geven fraude te plegen. De buitgemaakte data is voor een hoop dingen direct bruikbaar:
 

• gerichte phishing en helpdesk-fraude
• account takeover (zeker als gegevens te combineren zijn met andere lekken)
• identiteitsfraude

De adressen, bankrekeningen en identiteitsbewijzen die bij de buit horen, zijn zeker voor dat laatste punt uitermate handig.

3. Reputatieopbouw

ShinyHunters zet zich ten derde direct in de schijnwerpers, zeker door eerst maar een deel van de gegevens te lekken. Hierdoor bouwen ze aan hun reputatie, zowel bij andere criminelen als bij ons, het publiek. Hoe 'beter' die reputatie is, hoe groter de kans dat:
 

• het slachtoffer alsnog betaalt
• andere slachtoffers in de toekomst sneller zwichten
• kopers (criminelen) vertrouwen hebben in de “leverancier”

Wapenen tegen ShinyHunters

Als IT-professional zit je misschien nu extra op het puntje van je stoel. Het verschil met andere ransomware-aanvallen, betekent ook een andere verdedigingsaanpak. Je moet niet alleen ransomware-encryptie moet bestrijden, maar vooral data-exfiltratie en publicatiedruk:
 

• DLP/egress-monitoring (grote exports, ongebruikelijke datastromen)
• sterke IAM en minimale rechten op data-omgevingen
• detectie op bulk queries en mass exports
• incident response klaar voor “leak extortion”: juridische/comms + technische containment

ShinyHunters is een bekende naam in het datadiefstal-ecosysteem en gebruikt gestolen data als ruilmiddel: betaal, of we publiceren/verkopen. Bij Odido zie je dat patroon terug: na het besluit om niet te betalen, verscheen een eerste batch data op het darkweb. De nasleep is goed voelbaar. Voor organisaties is de les helder: wie data beschermt, moet net zo hard investeren in detectie en beperking van exfiltratie als in klassieke anti-ransomwaremaatregelen.