ShinyHunters: attacchi estorsione vishing 2026

Introduzione: cosa devi sapere subito

Le aziende di tutte le dimensioni affrontano una minaccia crescente da parte di ShinyHunters, un gruppo di cybercriminali che utilizza tecniche di ingegneria sociale per accedere ai sistemi cloud aziendali. A differenza degli attacchi tradizionali che mirano ai computer personali, questi criminali puntano direttamente alle piattaforme SaaS come Salesforce, SharePoint e OneDrive per rubare dati sensibili e poi estorcere denaro.

La buona notizia? Comprendere come funzionano questi attacchi è il primo passo per difendersi. La soluzione rapida: implementare una formazione rigorosa sulla sicurezza per i dipendenti, abilitare l’autenticazione multi-fattore su tutti gli account critici e stabilire procedure di verifica per le richieste di accesso ai sistemi.

Come funzionano gli attacchi di vishing di ShinyHunters

Gli attacchi iniziano con una telefonata ingannevole. Un criminale si spaccia per un membro del team IT aziendale e contatta un dipendente, dicendo che è necessario aggiornare le impostazioni di autenticazione multi-fattore (MFA). Sembra una richiesta legittima, ma è una trappola.

Il dipendente viene indirizzato verso un sito web contraffatto che imita perfettamente il portale di accesso aziendale. Quando inserisce le credenziali di accesso (SSO) e i codici MFA, il criminale ottiene tutto ciò che serve per accedere all’account.

Una volta dentro, i criminali:

Registrano i propri dispositivi per l’accesso multi-fattore
Si muovono lateralmente attraverso la rete aziendale
Accedono a piattaforme cloud come Salesforce e SharePoint
Scaricano dati sensibili dei clienti e informazioni aziendali
Talvolta utilizzano gli account compromessi per inviare ulteriori email di phishing a contatti in aziende di criptovalute

Il danno: dati rubati e richieste di riscatto

Dopo aver rubato i dati, ShinyHunters invia email di estorsione diretta alle aziende vittime. I criminali chiedono un pagamento in Bitcoin per evitare la pubblicazione dei dati su forum di hacking pubblici.

Le cifre sono significative: alcune vittime hanno pagato fino a 4 Bitcoin (circa 400.000 dollari) per recuperare i dati. Tra le aziende colpite figura anche Google, che ha subito una violazione di un’istanza Salesforce nel giugno 2025. I dati compromessi includevano informazioni di contatto e note relative a piccole e medie imprese clienti.

Ma il danno non si limita al furto di dati. Recentemente, ShinyHunters ha escalato le tattiche di estorsione includendo:

Molestie dirette ai dipendenti delle aziende vittime
Pressione psicologica attraverso minacce di divulgazione pubblica
Contatti ripetuti per aumentare l’ansia e accelerare i pagamenti

Chi è dietro questi attacchi?

Gli attacchi non sono opera di un’unica persona, ma di una rete coordinata di gruppi criminali:

UNC6661: Specializzato nella fase iniziale di vishing e raccolta credenziali
UNC6671: Coinvolto nel furto di dati da SharePoint e OneDrive
UNC6240 (ShinyHunters): Gestisce la fase di estorsione e la richiesta di riscatto

I ricercatori di sicurezza ritengono che ShinyHunters funzioni come un servizio di estorsione (EaaS), simile ai modelli di affiliazione nel ransomware. Il gruppo agisce spesso come intermediario, ricevendo il 25-30% di qualsiasi pagamento estorsivo dalle vittime, mentre gli altri gruppi criminali ottengono la restante parte.

Quali aziende sono a rischio?

Non esiste un settore immune. Gli attacchi di ShinyHunters hanno colpito:

Aziende tecnologiche (Google)
Piattaforme di e-commerce (Ticketmaster)
Fornitori di servizi cloud
Aziende di gestione dei dati
Organizzazioni di tutti i settori che utilizzano Salesforce

L’espansione è costante. Nel gennaio 2026, ShinyHunters ha lanciato un nuovo sito di fughe di dati pubblico (DLS) per pubblicizzare le vittime e pressarle ulteriormente.

Come proteggere la tua azienda

Formazione dei dipendenti

Il primo livello di difesa è l’educazione. I dipendenti devono sapere che:

I tecnici IT legittimi non chiedono mai credenziali o codici MFA via telefono
Le richieste sospette devono essere verificate contattando direttamente il reparto IT
I siti di accesso devono essere raggiunti solo tramite segnalibri o link ufficiali, non tramite link in email o telefono

Implementazione tecnica

Autenticazione multi-fattore robusta: Usa app di autenticazione (non solo SMS) e abilita la verifica della posizione
Monitoraggio degli accessi: Monitora gli accessi anomali e i dispositivi non riconosciuti
Verifica dell’identità: Implementa procedure di verifica per le richieste di modifica alle impostazioni di accesso
Segmentazione della rete: Limita il movimento laterale attraverso la rete
Backup regolari: Mantieni backup offline dei dati critici

Technical Deep Dive

Analisi tecnica degli attacchi

Gli attacchi di ShinyHunters sfruttano vulnerabilità nel fattore umano piuttosto che in difetti software. Tuttavia, l’architettura tecnica degli ambienti target facilita il successo:

Fase 1: Raccolta credenziali

I siti di phishing utilizzano HTTPS e certificati SSL validi per apparire legittimi. Replicano esattamente l’interfaccia utente dei portali SSO aziendali. I criminali spesso utilizzano domini simili al target (ad esempio, utilizzando “rn” invece di “m” nei nomi di dominio).

Fase 2: Registrazione MFA

Una volta ottenute le credenziali SSO e i codici OTP/TOTP, i criminali utilizzano il OAuth flow standard per registrare i propri dispositivi come dispositivi MFA attendibili. Questo consente l’accesso persistente anche se le credenziali vengono successivamente cambiate.

Fase 3: Movimento laterale

I criminali sfruttano le API di SharePoint e OneDrive per scaricare dati in massa. Utilizzano strumenti come PowerShell per automatizzare l’estrazione di dati. Gli accessi avvengono da indirizzi IP che possono essere mascherati o provenienti da servizi VPN legittimi, rendendo il rilevamento più difficile.

Fase 4: Esfiltrazione e tracce coperte

I dati vengono scaricati su server controllati dai criminali. In alcuni casi, gli attaccanti hanno eliminato le email di phishing dai sistemi delle vittime per coprire le tracce, sfruttando l’accesso alle cassette postali compromesse.

Indicatori di compromissione (IoC)

I team di sicurezza dovrebbero monitorare:

Accessi SSO da dispositivi non riconosciuti o nuove registrazioni MFA
Download di massa da SharePoint/OneDrive, specialmente durante orari non di lavoro
Attività di PowerShell su account di servizio
Invio di email di phishing da account aziendali
Modifiche alle impostazioni di inoltro della posta
Accessi da indirizzi IP geograficamente impossibili

Raccomandazioni di sicurezza avanzate

Implementazione di Conditional Access

Utilizza Azure AD Conditional Access per richiedere l’autenticazione multi-fattore aggiuntiva quando:

Viene effettuato l’accesso da una nuova posizione geografica
Viene utilizzato un dispositivo non conforme
Viene registrato un nuovo dispositivo MFA
Viene acceduto a dati sensibili

Monitoraggio del comportamento utente (UEBA)

Implementa soluzioni UEBA per rilevare anomalie nel comportamento degli utenti, come:

Download di dati insoliti
Accesso a cartelle non tipiche
Attività durante orari non di lavoro
Cambiamenti nei pattern di accesso

Segmentazione della rete a zero trust

Implementa un modello zero trust che richiede l’autenticazione e l’autorizzazione per ogni accesso alle risorse, indipendentemente dalla posizione dell’utente o del dispositivo.

Protezione dei dati sensibili

Classifica i dati per sensibilità e implementa: