Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

ShinyHunters атакуют SaaS через кражу учетных данных

3 мин
В первом квартале 2026 года ShinyHunters стали одним из наиболее заметных субъектов угроз, сделав ставку не на традиционные ransomware-атаки, а на компрометацию учетных данных, кражу данных и вымогательство без применения вредоносных шифровальщиков. По данным отчета, именно такой подход особенно опасен для организаций с ограниченной видимостью в области безопасности — прежде всего в сферах identity management и SaaS. Ключевым методом первоначального доступа у группы остаются атаки vishing. Злоумышленники имитируют сотрудников службы технической поддержки IT, чтобы выманить учетные данные у жертв. Для повышения убедительности они используют поддельные Caller ID и перенаправляют цели на фишинг-сайты, которые воспроизводят интерфейсы доверенных сервисов. Такая тактика позволяет обходить корпоративные средства защиты, включая веб-прокси. По состоянию на сегодняшний день выявлено около 500 phishing domains, связанных с ShinyHunters, что значительно расширяет их потенциальный доступ к ценным
Оглавление

В первом квартале 2026 года ShinyHunters стали одним из наиболее заметных субъектов угроз, сделав ставку не на традиционные ransomware-атаки, а на компрометацию учетных данных, кражу данных и вымогательство без применения вредоносных шифровальщиков. По данным отчета, именно такой подход особенно опасен для организаций с ограниченной видимостью в области безопасности — прежде всего в сферах identity management и SaaS.

Основной вектор атак: vishing и фишинг

Ключевым методом первоначального доступа у группы остаются атаки vishing. Злоумышленники имитируют сотрудников службы технической поддержки IT, чтобы выманить учетные данные у жертв. Для повышения убедительности они используют поддельные Caller ID и перенаправляют цели на фишинг-сайты, которые воспроизводят интерфейсы доверенных сервисов.

Такая тактика позволяет обходить корпоративные средства защиты, включая веб-прокси. По состоянию на сегодняшний день выявлено около 500 phishing domains, связанных с ShinyHunters, что значительно расширяет их потенциальный доступ к ценным бизнес-данным.

AiTM, MFA и захват корпоративных аккаунтов

Отдельную опасность представляют техники AiTM (adversary-in-the-middle), которые обеспечивают быстрый захват учетных данных. В результате атакующие получают возможность сбрасывать пароли и получать доступ к устройствам многофакторной аутентификации MFA.

После закрепления в инфраструктуре злоумышленники используют соединения SSO для продвижения к критически важным платформам, включая Salesforce и SharePoint. Дальше они извлекают конфиденциальную информацию через легитимные API либо посредством массовых загрузок данных.

Эксплуатация Salesforce и массовая компрометация учетных записей

В отчете отдельно отмечается, что ShinyHunters эксплуатировали неправильные настройки Salesforce Experience Cloud с помощью модифицированного инструмента AuraInspector. По имеющимся данным, это позволило им reportedly взломать сотни учетных записей без необходимости взаимодействия с пользователем.

Этот эпизод подчеркивает, что слабые конфигурации SaaS-сервисов становятся не менее опасными, чем классические уязвимости в периметре. Для атакующих достаточно получить начальный доступ к учетной записи или неверно настроенному компоненту, чтобы затем развить атаку вглубь среды.

Изменчивый ландшафт ransomware-угроз

Параллельно с активностью ShinyHunters в отчете фиксируется устойчивое присутствие таких групп, как Akira и Qilin. При этом новые акторы, включая хакерскую группировку The Gentlemen, демонстрируют стремительный рост активности. Это указывает на быстро меняющийся ландшафт, где традиционное отслеживание жертв становится менее информативным, чем мониторинг операционного поведения злоумышленников.

Особое внимание вызывают и 0APT, а также ALP-001 — сомнительные сайты утечек, которые якобы оказывают давление на компании за счет потенциально сфабрикованных заявлений. Такая практика показывает, что даже низкая репутация источника может создавать серьезные проблемы для защиты и реагирования.

Что рекомендуют защитникам

Авторы отчета подчеркивают: организациям необходимо адаптировать киберзащиту под новые модели атак, ориентированные на компрометацию идентификации, эксплуатацию внешних сервисов и lateral movement, обеспечиваемое административными протоколами.

В качестве приоритетных мер предлагаются:

  • внедрение надежных policies доступа для чувствительных приложений;
  • повышение осведомленности сотрудников о рисках vishing и фишинга через голосовую связь;
  • активный мониторинг SaaS logs на предмет необычной активности;
  • контроль за массовым доступом к API и крупными экспортами данных;
  • усиление проверки вымогательских требований в сжатые сроки.

В отчете отдельно подчеркивается, что наиболее эффективными станут проактивные меры, направленные не на личность злоумышленников, а на поведение, способствующее проникновению. Именно такой подход, по оценке авторов, способен повысить устойчивость организаций к текущему ландшафту угроз ransomware.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "ShinyHunters атакуют SaaS через кражу учетных данных".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются