(https://i.postimg.cc/sXJ143JX/Stealer-Cat.png) (https://postimages.org/)
Ayer por la mañana, DataBreaches se despertó con un mensaje en Telegram:
"Ni siquiera la NSA puede detenernos ni identificarnos. El FBI y todos los demás son irrelevantes e incompetentes para nosotros :)."
Cuando DataBreaches preguntó a ShinyHunters si algo en particular había inspirado esa declaración, "Shiny1" respondió:
"He oído que la NSA está investigando y analizando grabaciones de llamadas de voz de empresas afectadas y nuestros intentos. Las empresas que reciben llamadas de SE son Scattered Spider y, si tienen éxito, nos dan acceso para deshacernos de ellas."
DataBreaches continuó preguntando a Shiny por qué creía que los análisis de voz serían improductivos y que la NSA era incompetente. Respondió:
"Esas son voces generadas por IA. Por ejemplo, no podrán localizar a nadie basándose en ruidos de fondo, como el zumbido de la línea eléctrica, que no se pueden oír. No pueden contrastar los registros de las compañías eléctricas con los intervalos de tiempo en que las llamamos, ya que hay fluctuaciones en las frecuencias; no siempre son 60 Hz, pero la nuestra es consistentemente de 60 a 12 Hz. Pueden usar esa información para obtener una ubicación aproximada, pero en nuestro caso no es posible. Olvídense de la tecnología de triangulación, eso no funcionaría. Estábamos ofreciendo proveedores SIP de última generación."
Ayer también se trataron otros temas en el chat, y algunos de ellos se detallan a continuación.
Francia
Shiny no solo estaba furioso con las fuerzas del orden y Google, al parecer, sino también con LVMH, la empresa matriz de Dior y Tiffany, dos marcas que fueron atacadas como parte de la campaña de Salesforce. En un momento dado, Shiny comentó que no creía que las fuerzas del orden los perseguirían con tanta fuerza si no fuera por la presión de LVMH. DataBreaches le preguntó si Shiny realmente creía que LVMH tenía tanto impacto y estaba marcando la diferencia.
"Sí, esos multimillonarios creen que tienen voz y voto, pero no es así.
Si billonarios como Google no pueden detenernos, entonces los multimillonarios no son nada. Las fuerzas del orden tampoco tienen tanta financiación ni presupuestos tan cuantiosos. Se olvidarán de nosotros en uno o dos meses, una vez que terminemos. Entonces volveremos y lanzaremos otra campaña sofisticada de varios meses o un año, Snowflake 3.0. La próxima vez será mucho peor."
DataBreaches le preguntó a Shiny si creía que la presión de LVMH había impulsado a las fuerzas del orden francesas a realizar arrestos más rápidos.
"Francia se apresuró a realizar arrestos FALsos e Inexactos", respondió, y añadió: "Personalmente, no estoy ni cerca de Francia". Pero, por supuesto, esperaríamos que dijera eso incluso estando en Francia.
Para DataBreaches no es obvio por qué LVMH sería tan supuestamente agresivo al perseguir a los ShinyHunters. Sin duda, muchas empresas se han visto mucho más afectadas. Fuentes con conocimiento de los ataques y la respuesta de LVMH habían informado previamente a DataBreaches que LVMH había pagado unos 4 BTC en extorsión para cubrir todas sus marcas atacadas, es decir, Dior, Tiffany y (aunque LVMH o la marca no lo han revelado públicamente), Celine.
Pero Shiny claramente tiene mucha ira hacia Francia y afirma que ahora la están atacando agresivamente: "Mis únicas directivas son atacar a EE. UU., Reino Unido, Australia, Canadá y Francia. Y no tocar en absoluto a Rusia, China ni Corea del Norte".
Australia
Apuntar a Australia parece estar relacionado con los miembros de Scattered Spider. Durante el chat, Shiny declaró:
"La mitad de Scattered Spider está en EE. UU., Reino Unido o Australia. ¿Por qué creen que atacamos de repente a Qantas y otras grandes empresas australianas? Un chaval nos rogaba que las hackeáramos.
¿Ha habido algún arresto significativo por parte de nuestro homólogo, Scattered Spider? No. Olvídense de los cuatro arrestos en el Reino Unido; esos tipos eran unos retrasados mentales, por eso no les pedí un rescate a M&S, entre otros. "
Pero mencionar a Qantas aparentemente le recordó a Shiny la orden judicial que les habían enviado, y compartió una copia de su respuesta a Qantas con DataBreaches, diciendo que se la habían enviado por correo electrónico a Qantas:
"Gracias, pero no acataremos ninguna orden judicial, ya que no tenemos obligación de hacerlo, ya que residimos fuera de su jurisdicción. Incluso si residiéramos dentro de su jurisdicción, no nos importa y no la cumpliríamos. Tengan en cuenta que estos datos se harán públicos muy pronto. Les dimos una oportunidad y estamos dispuestos a darles una última para que cumplan, negocien y resuelvan esta situación.
Cuando empecemos a filtrar los datos, empezaremos filtrando los datos de todos los jueces y funcionarios federales de Australia. Si no cumplen en ese momento, lo filtraremos todo.
Dejen de hacer lo que hicieron con Optus, AFP. Esta vez, las órdenes judiciales no nos detendrán. Son irrelevantes, débiles e incompetentes. Mucha suerte con las "partes externas" que omitieron de los documentos, ya que ya sabemos quiénes son.
Tienen 24 horas para empezar a negociar; bajamos el precio en otro millón de dólares. La oferta se mantiene en un millón de dólares. Dejen de hacer tonterías, tomen la decisión correcta y paguen el rescate. Si siguen dando largas, se filtrará. No pierdan tiempo."
Shiny afirma haber enviado lo siguiente por correo electrónico a la AFP, la ASD y el Ministerio del Interior de Australia:
"Hola, como saben, somos responsables del ciberataque a Qantas Airways Limited y seremos responsables de los numerosos ciberincidentes que afectarán a diversas industrias australianas en los próximos días y semanas.
Queríamos informarles esto personalmente para exponer lo que consideramos ignorancia y arrogancia sistémicas en el panorama de la ciberseguridad australiana: este mensaje se emite directamente para destacar las consecuencias de la decisión de no cumplir con nuestras demandas en el acuerdo con Qantas Airways Limited, cuyo objetivo era evitar una interrupción generalizada en toda Australia. Una vez que concluya nuestra campaña, comenzaremos a contactar individualmente a las organizaciones afectadas.
Confiamos en que esto sirva como una clara demostración del impacto de esa decisión y esperamos que se cumplan nuestras futuras demandas, lo que pondría fin a nuestra campaña de interrupción generalizada en toda Australia."
– ShinyHunters
"Son unos completos idiotas al pensar que tales órdenes judiciales tienen alguna relevancia o efecto", comentó Shiny después de compartir la correspondencia.
La respuesta de ShinyHunters a la orden judicial retoma un punto que DataBreaches ya había planteado en un comentario del 18 de julio sobre este tipo de órdenes judiciales en general. DataBreaches escribió:
La realidad es que a los delincuentes que filtran o venden datos por internet generalmente les importan un bledo las órdenes judiciales y los filtran de todos modos. Los únicos realmente afectados por las órdenes judiciales o las superordenes judiciales son los medios de comunicación, que querrían informar sobre la situación para informar al público y a los ciudadanos que podrían verse afectados por una filtración, pero que desconocen si la entidad no ha sido transparente en su divulgación.
Más sobre Google
Ayer por la mañana, ShinyHunters también declaró haber enviado a Google una solicitud de extorsión. No reveló la hora exacta, pero fue después de que Google revelara públicamente la filtración en una actualización de su blog. Según se informa, la solicitud de extorsión incluía muestras de archivos adjuntos. A DataBreaches no se le mostró ninguna copia del correo electrónico ni de la solicitud.
"En menos de una hora [después de enviar el correo electrónico] vieron nuestro correo y descargaron las muestras varias veces", declaró Shiny, y añadió: "Apuesto a que estaban esperando el correo, jaja. Lo envié a propósito desde mi correo principal... Espero que no me baneen de nuevo".
Shiny comentó más tarde: "No iba a pedirles un rescate porque cuando empecemos a filtrar datos de empresas que no han pagado, quería eliminar primero la base de datos de Google, ya que es la más importante".
Se negó a revelar el monto de la solicitud ni la fecha límite que se le había dado a Google.
Minutos después, Shiny anunció con cierta naturalidad: «Voy a atacarlos de nuevo >.>».
Cuando DataBreaches le preguntó si hablaba en serio, respondió: «Sí, ¿por qué no lo haría? No van a detener esto. Seguimos deshaciéndonos de más empresas cada día. Y esas pobres empresas no tienen ni idea».
Shiny publicó este gráfico durante el chat con un comentario: "GTIG y FBI me miran (a Scattered Spider) cambiando drásticamente los TTP y los IoC justo cuando publican una actualización LOL".
(https://databreaches.net/wp-content/uploads/Spidey.jpg)
Shiny no indicó cuándo sería el próximo ataque a Google, pero DataBreaches contactó a GITG para informarles de la afirmación de Shiny, ya que sus anteriores afirmaciones sobre hackear Google habían resultado ciertas.
DataBreaches también envió un correo electrónico al contacto de prensa de Google para preguntarles si comentarían sobre las afirmaciones sobre la extorsión y la declaración de ShinyHunters de que volverían a atacar a Google. Google respondió que no haría comentarios, pero gracias por la información y las comunicaciones.
Nota sobre "Shiny":
DataBreaches usa el nombre "Shiny" para referirse a la persona con la que este bloguero se ha comunicado a través de Telegram durante los últimos años. Aunque la policía francesa afirma haber arrestado al líder de ShinyHunters el 23 de junio, este bloguero y varias personas que se comunicaron con "Shiny" antes y después de la fecha de arresto han expresado sus dudas, convencidas de que la persona con la que se comunican ahora en la cuenta Sp1d34hunters es la misma (y líder de ShinyHunters) con la que se comunicaron durante años en diversas cuentas de Telegram o Jabber. Tengan en cuenta que, en algunas cuentas, varias personas podrían estar publicando o escribiendo en una cuenta de Telegram o Jabber, pero todos reconocemos a la persona que publica actualmente en la cuenta Sp1d3rhunters.
Dado que alguien sigue detenido en una prisión francesa y supuestamente es el líder de ShinyHunters, lo único que DataBreaches puede decir por el momento es que tenemos curiosidad por saber a quién han arrestado los franceses. Shiny ha informado a DataBreaches que es un "socio" y que debe considerar al individuo o al detenido como otro "Sezyo" (en referencia al arresto de Sébastien Raoult).
DataBreaches también sabe que algunas personas creen que no nos hemos comunicado con el director de ShinyHunters, sino con un colaborador cercano como "Hollow" (también conocido como TriHash, Clownpiece o Felix) o "Anastasia" (otra cuenta que ha sido utilizada por más de una persona). También sabemos que una o más personas utilizaron la cuenta de Sp1d3rhunters en el pasado. Pero todos reconocemos que la persona que actualmente está en Sp1d3rhunters es la misma con la que tratamos en el pasado.
O todos estamos equivocados o lo están los fiscales franceses. El tiempo lo dirá.
Como ocurre con muchas cosas que Shiny me ha contado a lo largo de los años, DataBreaches no siempre puede confirmar o refutar las afirmaciones realizadas durante un chat por un actor de amenazas, pero señala que las declaraciones de Shiny sobre el ataque a Google, los ataques a Salesforce y Scattered Spider han sido verificadas posteriormente, directa o indirectamente, en algunos casos mediante actualizaciones de las entradas del blog del Grupo de Inteligencia de Amenazas de Google.
Es probable que los analistas y las empresas de inteligencia consideren todas las afirmaciones y declaraciones sobre Shiny en esta publicación como informes de "baja confianza". Esto es perfectamente comprensible y apropiado. Publico todo esto para que otros puedan investigarlo e intentar verificarlo o refutarlo utilizando sus propias herramientas y métodos.
Fuente:
DataBreaches
https://databreaches.net/2025/08/08/shinyhunters-sent-google-an-extortion-demand-shiny-comments-on-current-activities/