Het verhaal van ShinyHunters: de datadiefstal-groep

Hoe alles begon

ShinyHunters werd voor het eerst opgemerkt toen zij miljoenen gebruikersgegevens van bedrijven over de hele wereld lekten en verhandelden. In tegenstelling tot wat we van ‘klassieke’ ransomware-groepen kennen, richten zij zich niet op het versleutelen van systemen, maar op het stelen en publiceren van data, denk aan persoonlijke informatie, inlog-gegevens, financiële records en zelfs broncode.

Waarom de naam Shiny Hunters

De naam van de groep is vermoedelijk afgeleid van Shiny Pokémon, een aspect van de Pokémon-videogamefranchise waarbij Pokémon een zeldzame kans hebben om in een alternatieve, "glanzende" kleurstelling te verschijnen; spelers die actief proberen dergelijke Pokémon te verzamelen door middel van in-game strategieën worden vaak "shiny hunters" genoemd.

Wereldwijde slachtoffers

De groep is zeer zeker geen kleine speler, hun activiteiten zijn wereldwijd geweest met slachtoffers in onder meer:

Verenigde Staten

• • Google
• • Princeton University
• • AT&T Wireless

India en Zuidoost-Azië

• • Aditya Birla Fashion and Retail
• • Quantas Airways
• • PizzaHut Australia

Europa (zoals Frankrijk, het Verenigd Koninkrijk en Nederland)

• • Legal Aid Agency (U.K. Ministry of Justice)
• • LVMH (Louis Vuitton, Dior, Tiffany & Co.)
• • Odido (meest recente in Nederland)

Zoals je kunt zien zijn dit niet zomaar kleine bedrijven. Hun slachtoffers omvatten grote platformen zoals GitHub, Tokopedia, Wattpad en Bonobos, waar maar liefst tientallen tot honderden miljoenen records werden buitgemaakt en gepubliceerd.
Deze bedrijven zijn ook qua informatiebeveiliging niet de kleinste spelers, toch ging het mis.

Samenwerking en evolutie
In augustus 2025 ging ShinyHunters een samenwerking aan met andere bekende dreigingsactoren zoals LAPSUS$ en Scattered Spider, onder de naam Scattered LAPSUS$ Hunters. In deze alliantie combineert ShinyHunters zijn enorme hoeveelheid gestolen gegevens met de theatrale extortiemethodes van LAPSUS$ en de sociale-engineering vaardigheden van Scattered Spider. Deze combinatie maakt het collectief nog gevaarlijker en zichtbaarder op het wereldtoneel. We zien hier een enorme potentiegroei van de gezamelijke groepen met elk hun eigen voortreffelijke expertise.

Wat ze stelen, en hoe

ShinyHunters richt zich vooral op systemen met veel waardevolle data. Ze misbruiken vaak:

• • Onjuist geconfigureerde webapplicaties of databases
• • Zwakke of gelekte inloggegevens
• • Externe toegangspunten via dark-web-dealers

Eenmaal binnen, verzamelen ze alles wat waarde heeft: persoonsgegevens (PII), financiële data, login-gegevens en zelfs broncode. Daarna verkopen ze deze informatie via ondergrondse marktplaatsen of zetten ze bedrijven onder druk met dreigementen om de data te publiceren,  een tactiek die vaak gecombineerd wordt met financiële eisen.
 

Geen ransomware, maar wel extorsie

Hoewel hun naam soms in verband wordt gebracht met ransomware-aanvallen, gebruiken ShinyHunters zelf geen ransomware om systemen te versleutelen of losgeld te eisen. Hun verdienmodel draait om het verkopen van gestolen gegevens en het extorqueren van bedrijven door hen te dwingen te betalen om publicatie van gevoelige data te voorkomen. Een mal door het bedrijf, waar de data vandaan komt, is betaald zijn er geen aanwijzingen dat ze dan toch de data op het web plaatsen. Dit is noemswaardig te noemen, ze komen hun belofte na. Dit is uiteraard in hun eigen belang, als een bedrijf betaald, en de data komt alsnog op het web terecht tast dit de geloofwaardigheid van de groep aan en laten toekomstige slachtoffers de betaling wel achterwege.

Impact en risico’s

De impact van hun hacks is enorm:

• • Identiteitsdiefstal en phishing-aanvallen tegen getroffen gebruikers
• • Reputatieschade voor getroffen bedrijven
• • Financiële en juridische risico’s
• • Verhoogde waakzaamheid en beveiligingskosten

Organisaties die met grote hoeveelheden gevoelige data werken, zoals retail- en e-commerce platforms, SaaS-diensten, financiële instellingen en healthcare-providers,  lopen het hoogste risico.

Hoe je je kunt verdedigen

Hoewel ze technisch gezien niet zelf ransomware inzetten, is de aanpak van ShinyHunters wel iets wat je als organisatie serieus moet nemen. Mogelijke verdedigingen omvatten:

• • Sterke identity- en toegangsmanagement-oplossingen;

denk aan het inrichten van een ISMS, waarbij Identity and Access Management (IAM) een solide stevige rol in de informatiebeveiliging heeft.

• • Monitoring van ongebruikelijke databundels of ontdekte credentials;

doe aan baselining, laat je systemen monitoren naar afwijkingen op je netwerk en handelingen van personeel

• • Detectie van abnormale uitgaande datastromen;
  
  hou je data in de gaten wat je bedrijf verlaat
• • Bewustwording van phishing en social engineering binnen teams;
  
  een hele grote kans zit ook hier in, uiteraard speelt de mens een ontzettend belangrijke rol in het beveiliginsproces. Training en opleiding kunnen er voor zorgen dat je mensen net die scherpe edge krijgen die jouw bedrijf kunnen redden....de juiste persoon met de juiste opleiding en training kunnen hier echt het verschil maken.

Deze maatregelen helpen om hun inbraak- en exfiltratie-methodes te signaleren voordat het te laat is.