ShinyHunters угрожают утечкой более 3 млн записей Cisco и требуют контакта до 3 апреля 2026 года
Группировка ShinyHunters заявляет о хищении более 3 миллионов записей Cisco через систему управления клиентами Salesforce и AWS, угрожая публичной утечкой, если компания не свяжется с ними до 3 апреля 2026 года. В подтверждение хакеры опубликовали скриншоты доступа к облачной инфраструктуре AWS Cisco. Часть данных могла быть получена через голосовой фишинг, а ранее группировка уже слила 350 ГБ данных Еврокомиссии.
Группировка ShinyHunters опубликовала в даркнете сообщение, в котором называет его последним предупреждением для Cisco. Как сообщает издание HACKREAD со ссылкой на заявлении хакеров, крайний срок — 3 апреля 2026 года, после которого начнётся утечка якобы похищенных данных.
По утверждению группировки, доступ получен через три вектора: UNC6040, Salesforce Aura и скомпрометированные аккаунты AWS. Всего, как сообщили злоумышленники, похищено более трёх миллионов записей системы управления клиентами Salesforce, а также персональные данные, данных из репозиториев GitHub, облачных хранилищ Amazon Web Services (AWS) и внутренних корпоративных данных.
В сообщении добавляется, что невыполнение требования связаться с группировкой приведёт не только к утечкам, но и к неопределённым «цифровым проблемам».
Как отмечается в публикации, угроза появилась через несколько дней после того, как та же группировка слила 350 гигабайт данных Европейской комиссии, включая дампы почтовых серверов, экспортированные базы данных, внутренние документы и контракты.
Группа угроз Google Threat Intelligence Group (GTIG) обозначила ShinyHunters как UNC6040 в августе 2025 года. По данным Cisco, эта кампания включает голосовой фишинг (вишинг), направленный на сотрудников для получения доступа к внутренним системам и клиентским данным. ShinyHunters, связывая свои заявления с этой кампанией, признала причастность и предположила, что часть похищенных данных Cisco могла быть получена через атаки социальной инженерии.
В подтверждение своих заявлений группировка опубликовала три изображения. Как сообщает HACKREAD, на скриншотах виден доступ к AWS-инфраструктуре, которую хакеры связывают с Cisco: панель управления организацией, диски для хранения данных и списки облачных хранилищ (buckets). Конфиденциальных данных изображения не содержат, но указывают на видимость облачной инфраструктуры на уровне организации, что предполагает доступ к нескольким связанным аккаунтам и сервисам под централизованным управлением.
За последний год ShinyHunters неоднократно заявляла о доступе к данным системы управления клиентами Salesforce в различных организациях. Как указывается в сообщениях группировки, точками входа были неверные конфигурации, скомпрометированные учётные данные или сторонние интеграции, а не недостатки самого Salesforce.
Предыдущие инциденты следовали схожему шаблону: данные сначала выставлялись на сайтах утечек с ограниченной информацией, затем публиковались полностью, если компании не вступали в контакт. В числе компаний, упомянутых в утечках данных, связанных с Salesforce, как сообщается, были Odido, Telus Digital, Farmers Insurance, SoundCloud, Crunchbase, GAP, Qantas, Vietnam Airlines, Gucci, Balenciaga, Alexander McQueen и другие.
Ранее SecPost писал о группировке ShinyHunters, которая пригрозила публикацией 21 млн записей клиентов оператора Odido, что значительно превышает ранее подтвержденную утечку в 6,2 млн. В случае подлинности данных резко возрастёт риск кражи личности и целевых мошеннических атак.
Читайте также:
ИБ-эксперты называют 2025 год «кровавым» — такого числа успешных кибератак на российские компании не наблюдалось никогда прежде. SecPost насчитал и собрал в таблице 25 случаев, когда хакерам удалось нанести ущерб, информация о котором стала публичной. Реестр кибератак продолжает пополняться по мере того, как становится известно о новых инцидентах.
Читайте также
