Cyberkriminelle, die unter der Marke ShinyHunters operieren, haben eine ausgefeilte Erpressungskampagne gestartet, die auf Cloud-Systeme von Unternehmen abzielt und mittels Voice-Phishing-Angriffen erfolgt, welche die Multi-Faktor-Authentifizierung umgehen, laut einer gemeinsamen Untersuchung von Mandiant und der Google Threat Intelligence Group. Die Angreifer geben sich als IT-Mitarbeiter aus, um Angestellte dazu zu bringen, ihre Zugangsdaten auf gefälschten Login-Seiten einzugeben, und entwenden anschließend sensible Daten von Plattformen wie Salesforce und SharePoint zu Erpressungszwecken.
Die Angriffe folgen einem kalkulierten Muster, das bereits etliche Organisationen kompromittiert hat, wobei die Opfer auf einer neuen SHINYHUNTERS-Leak-Seite erscheinen, die Ende Januar 2026 laut der Untersuchung von Mandiant und Google auftauchte. Die Seite listet betroffene Unternehmen auf und enthält Kontaktinformationen, die zuvor bereits mit der Gruppe in Verbindung gebracht wurden.
Während dieser Angriffe rufen Kriminelle die Mitarbeiter an und geben sich als Angehörige der IT-Abteilung ihres Unternehmens aus, wobei sie die Notwendigkeit einer Aktualisierung der Multi-Faktor-Authentifizierung vorschützen. Den Opfern wird daraufhin geraten, sich auf gefälschten Login-Seiten anzumelden, die legitime Single-Sign-On-Portale (SSO) täuschend echt nachahmen, häufig unter Domains wie „companyname-sso.com“ oder „companyname-internal.com“, registriert über Dienste wie NICENIC und Tucows.
Sobald Mitarbeiter ihre Anmeldedaten und MFA-Codes eingeben, übernehmen die Angreifer sofort deren Konten und registrieren eigene Geräte als gültige Authentifizierungsmethoden, wodurch ihnen ein dauerhafter Zugriff auf die Unternehmenssysteme gesichert wird. Um der Entdeckung zu entgehen, löschen die Kriminellen laut Bericht Sicherheitsbenachrichtigungs-E-Mails, die die Opfer auf die neue Geräteregistrierung aufmerksam machen würden.
Eskalierende Erpressungstaktiken
Nachdem sie Zugriff erlangt haben, zielen die Angreifer auf alle verfügbaren Daten auf Plattformen wie Salesforce, SharePoint, Docusign und Slack ab. Sie verwenden PowerShell-Befehle, um Dateien von SharePoint und OneDrive herunterzuladen, und suchen dabei gezielt nach Dokumenten, die Schlagwörter wie „vertraulich“, „intern“ und „Salesforce“ enthalten, wie die Ermittler feststellten.
Die Erpressungsphase beginnt mit E-Mails im ShinyHunters-Design, in denen innerhalb von 72 Stunden eine Bitcoin-Zahlung gefordert wird. Die Angreifer liefern Muster gestohlener Daten, die auf Diensten wie Limewire gehostet werden, als Beweis für den Einbruch. Wenn Opfer nicht kooperieren, eskaliert die Gruppe die Lage mit belästigenden Textnachrichten an Mitarbeiter und DDoS-Angriffen gegen die Webseiten des Unternehmens.
Sicherheitsforscher haben diese Operationen der Gruppe Scattered Spider (auch als UNC3944 verfolgt) zugeordnet, die als mit ShinyHunters verbündet oder identisch identifiziert wurde. Die Kampagne zeigt, dass selbst Organisationen mit modernen Sicherheitskontrollen für ausgeklügelte Social-Engineering-Angriffe anfällig bleiben.
Um sich gegen diese Bedrohungen zu schützen, empfehlen Sicherheitsexperten die Migration zu Phishing-resistenten MFA-Methoden wie FIDO2-Sicherheitsschlüsseln oder Passkeys. Organisationen sollten zudem eine hochsichere Verifizierung für Passwortzurücksetzungen verlangen, einschließlich Live-Videoanrufen, bei denen Benutzer amtliche Ausweisdokumente vorlegen. Erkennungsteams sollten auf verdächtige Muster achten, einschließlich MFA-Geräteregistrierungen unmittelbar nach Anmeldungen von neuen Standorten sowie der Nutzung von PowerShell für Massendownloads von Cloud-Speicherplattformen.
Sources
- Google Cloud
- Varonis
