Uma suposta violação de segurança divulgada pelo grupo criminoso ShinyHunters acabou se transformando em um revés para os próprios atacantes. A empresa de cibersegurança Resecurity confirmou que o ambiente comprometido fazia parte de uma operação controlada de honeypot, criada justamente para atrair e monitorar atividades maliciosas.
Criminosos alegaram acesso total a sistemas internos
No último sábado, o ShinyHunters publicou em um canal no Telegram diversas imagens que, segundo eles, comprovariam uma invasão bem-sucedida à infraestrutura da Resecurity. As capturas exibiam painéis administrativos, bases de dados e sistemas internos da empresa.
O grupo afirmou ter obtido acesso irrestrito a informações sensíveis, como registros de comunicação interna, logs operacionais, documentos estratégicos, dados de inteligência de ameaças e uma suposta lista de clientes com informações detalhadas. Também alegaram ter acesso a dados de funcionários, incluindo nomes, endereços de e-mail e tokens de autenticação.
Entre os materiais divulgados, apareciam interfaces de gerenciamento de usuários, repositórios de chaves de API, tokens de acesso e conversas internas realizadas por meio da plataforma Mattermost.
Ataque teria motivação retaliatória
De acordo com a narrativa dos criminosos, a ação não teria ocorrido de forma aleatória. O ShinyHunters afirmou que o ataque seria uma resposta direta às atividades investigativas conduzidas pela Resecurity ao longo de vários meses.
No comunicado publicado, o grupo mencionou sua cooperação com uma operação de ransomware chamada Devman e citou incidentes anteriores, incluindo um ataque ao sistema financeiro do Vietnã. Segundo eles, pesquisadores da Resecurity teriam se passado por compradores de dados vazados para obter amostras e informações sobre suas operações.
Resecurity afirma que ambiente violado era uma armadilha
A versão apresentada pela Resecurity mudou completamente o entendimento do caso. Em pronunciamento oficial, a empresa esclareceu que os sistemas acessados faziam parte de um ambiente isolado e intencionalmente exposto, projetado como honeypot para observação de atacantes.
Segundo a companhia, todos os dados disponíveis nesse ambiente eram sintéticos, sem qualquer vínculo com clientes reais, operações internas ou credenciais válidas. Aplicações e painéis exibidos nas capturas haviam sido implantados como iscas digitais, com o único objetivo de registrar técnicas, comportamentos e infraestrutura utilizada pelos invasores.
A empresa reforçou que não houve vazamento de informações legítimas, comprometimento de senhas reais ou impacto operacional para seus clientes.
Como prova, a Resecurity divulgou registros detalhados das atividades realizadas pelos atacantes, incluindo logs associados a um endereço de e-mail fictício criado para o honeypot ([email protected]), além de endereços IP e chamadas a endpoints utilizados durante a invasão.
Quem é o grupo ShinyHunters?
Ativo desde 2020, o ShinyHunters é um grupo conhecido por ataques focados em exfiltração de dados e monetização de informações sensíveis. Estima-se que mais de 90 organizações já tenham sido afetadas por ações atribuídas ao grupo.
Seu método de atuação envolve, principalmente, a exploração de falhas em aplicações na nuvem e bases de dados expostas. Um dos alvos preferenciais são plataformas de gerenciamento de clientes, que permitem o acesso simultâneo a informações de múltiplas empresas a partir de um único comprometimento.
O grupo também mantém conexões com outras operações criminosas, como Scattered Spider e Lapsus$, tendo participado de ataques contra grandes organizações, incluindo Salesforce e Allianz Life. Esses incidentes resultaram na exposição de milhões de registros pertencentes a clientes e parceiros comerciais.
Após um breve período de inatividade, o grupo associado conhecido como Scattered Lapsus$ Hunters retornou ao cenário oferecendo ransomware como serviço, ampliando seu modelo de atuação ao executar ataques em nome de terceiros dispostos a pagar pelo serviço.
