Как игроки в Pokémon охотятся за блестящими предметами, так и ShinyHunters собирает и перепродает пользовательские данные.
Специалисты из Intel 471 приоткрыли завесу над тем, как проводит свои операции киберпреступная группировка ShinyHunters, стоящая за рядом громких утечек данных.
Согласно новому отчету Intel 471, группировка внимательно изучает исходный код компаний в GitHub-репозиториях в поисках уязвимостей, которые можно использовать для осуществления более масштабных кибератак.
«Орудующий в основном на Raid Forums коллектив взял свое название и мотивацию у аватара, использующегося им в социальных сетях и других форумах, – блестящего покемона Амбреона. Как игроки в Pokémon охотятся за блестящими предметами, так и ShinyHunters собирает и перепродает пользовательские данные», – сообщили исследователи.
Впервые группировка привлекла внимание ИБ-экспертов в апреле 2020 года и с тех пор взяла на себя ответственность за целый ряд взломов, в том числе Tokopedia, Wattpad, Pixlr, Bonobos, BigBasket, Mathway , Unacademy, MeetMindful , учетной записи Microsoft в GitHub и пр.
По данным Risk Based Security, ShinyHunters в общей сложности раскрыли более 1,12 млн уникальных электронных адресов, принадлежащих компаниям с фондовым индексом S&P 100, а также образовательным, правительственным и военным организациям.
На прошлой неделе группировка начала продавать базу данных, предположительно содержащую персональную информацию 70 млн абонентов американской телекоммуникационной компании AT&T по стартовой цене $200 тыс. Правда, сам телеком-гигант утверждает, что его системы не были взломаны.
ShinyHunters известна своими взломами сайтов и репозиториев разработчиков с целью похищения учетных данных или ключей API для доступа к облачным сервисам атакуемых компаний. С их помощью киберпреступники получают доступ к корпоративным базам данных и похищают информацию для дальнейшей продажи или бесплатной публикации на хакерских форумах.
Помимо прочего, группировка атакует DevOps-сотрудников компаний или их GitHub-репозитории с целью похищения действительных токенов OAuth, позволяющих им взламывать облачную инфраструктуру и обходить механизмы двухфакторной аутентификации.
«ShinyHunters, может, и не имеет такой славы, как кибервымогательские группировки, в настоящее время вызывающие хаос на предприятиях по всему миру. Однако отслеживание таких группировок имеет большое значение для предотвращения подобных атак на ваши организации», - сообщили в Intel 471.
Храним важное в надежном месте