Allereest de huidige stand van zaken: ShinyHunters heeft de aanval op Odido geclaimd en losgeld geëist. Odido weigerde dat te betalen, waarna de groep de eerste batch openbaar maakte. Daarvoor wisten we al zeker dat de groep achter de aanval zat, omdat ze bij meerdere media waren langsgegaan met bewijs. De ShinyHunters staan bekend om deze modus operandi. Door de publiciteit actief op te zoeken, dwingt de groep het slachtoffer in een publieke verdedigingsmodus, wat de druk om alsnog tot een schikking te komen vergroot.

Wie of wat is ShinyHunters?

ShinyHunters dook rond 2020 op in het cybercriminele circuit en werd snel bekend door het grootschalig aanbieden van gestolen databases. Nee, Odido is niet de eerste; de groep werd bekend door zo'n 200 miljoen accounts bij 13 bedrijven weg te kapen. Hun beruchtheid bereikte een hoogtepunt na de massale inbraken bij partijen als Ticketmaster en Santander in 2024, waarbij bleek dat de groep een ongekende expertise heeft in het penetreren van cloud-infrastructuur.

ShinyHunters viel op door deze reeks aan high-volume databreaches en de verkoop van persoongegevens. Ze staan bekend om hun leak & distortion methode en hebben nu dus een gigantische buit in Nederland weten te maken. In tegenstelling tot veel andere groepen opereert ShinyHunters vaak als een losse confederatie van ervaren hackers die zeer gericht jagen op slecht beveiligde API-sleutels en beheerder-credentials in ontwikkelomgevingen.

Hoe opereert ShinyHunters doorgaans?

Waar klassieke ransomwaregroepen systemen platleggen met encryptie, zit dat bij ShinyHunters net anders. De groep volgt over het algemeen dit patroon:

1. Exfiltratie (data buitmaken)
2. Afpersing ("betaal of we publiceren")
3. Publicatie / verkoop als drukmiddel én verdienmodel

Deze 'pure extortion'-strategie is uiterst effectief omdat het de noodzaak voor complexe malware omzeilt; zolang de data buiten de muren van de organisatie is, heeft de aanvaller de volledige controle. Dat patroon zie je nu ook terug bij Odido; nu het telecombedrijf niet wil betalen, wordt de data langzaam maar zeker gepubliceerd.

ShinyHunters en de Odido-buit

Het is dan ook te voorspellen wat er nu gaat gebeuren. De bedoelingen van ShinyHunters zijn in drievoud te beschrijven:

1. Losgeld binnenhalen

Deze is logisch. ShinyHunters heeft losgeld geëist, en zo verdienen ze aan het lek. Odido heeft nu dus al gezegd dat ze dat niet gaan betalen, waardoor ShinyHunters direct over gaat op een volgend doel. In het criminele ecosysteem van 2026 wordt de hoogte van het losgeld vaak nauwkeurig afgestemd op de potentiële NIS2-boetes die een bedrijf riskeert, om de 'economische logica' van betalen aantrekkelijker te maken.

2. (Door)verkoop in het criminele circuit

ShinyHunters staat er niet om bekend dat het zelf phishingaanvallen op mensen uitvoert. Wat de groep wel doet, is de data verkopen en daarmee (andere) criminelen de mogelijkheid geven fraude te plegen. Vaak vindt deze verkoop plaats via gesloten veilingen op platforms zoals het beruchte BreachForums, waar databases aan de hoogste bieder worden gegund. De buitgemaakte data is voor een hoop dingen direct bruikbaar:

• gerichte phishing en helpdesk-fraude.
• account takeover (zeker als gegevens te combineren zijn met andere lekken)
• identiteitsfraude

De adressen, bankrekeningen en identiteitsbewijzen die bij de buit horen, zijn zeker voor dat laatste punt uitermate handig. Door het combineren van deze nieuwe dataset met eerdere lekken kunnen kwaadwillenden uiterst gedetailleerde profielen opstellen voor 'spear phishing'-campagnes die nauwelijks van echt te onderscheiden zijn.

3. Reputatieopbouw

ShinyHunters zet zich ten derde direct in de schijnwerpers, zeker door eerst maar een deel van de gegevens te lekken. Hierdoor bouwen ze aan hun reputatie, zowel bij andere criminelen als bij ons, het publiek. Hoe 'beter' die reputatie is, hoe groter de kans dat:

• het slachtoffer alsnog betaalt
• andere slachtoffers in de toekomst sneller zwichten
• kopers (criminelen) vertrouwen hebben in de "leverancier"

Wapenen tegen ShinyHunters

Als IT-professional zit je misschien nu extra op het puntje van je stoel. Het verschil met andere ransomware-aanvallen, betekent ook een andere verdedigingsaanpak. Je moet niet alleen ransomware-encryptie moet bestrijden, maar vooral data-exfiltratie en publicatiedruk:

• DLP/egress-monitoring (grote exports, ongebruikelijke datastromen). Het implementeren van gedragsgebaseerde analyse op cloud-storage accounts is hierbij essentieel om afwijkende leespatronen direct te blokkeren.
• sterke IAM en minimale rechten op data-omgevingen. Het strikt toepassen van Just-In-Time (JIT) access zorgt ervoor dat beheeraccounts geen permanente toegang hebben tot gevoelige databases.
• detectie op bulk queries en mass exports
• incident response klaar voor "leak extortion": juridische/comms + technische containment

Bovendien dwingt de NIS2-wetgeving organisaties nu tot een veel actiever beheer van hun 'attack surface', waarbij met name de beveiliging van supply chain-partners en cloud-integraties onder de loep moet worden genomen. ShinyHunters is een bekende naam in het datadiefstal-ecosysteem en gebruikt gestolen data als ruilmiddel: betaal, of we publiceren/verkopen.

Bij Odido zie je dat patroon terug: de nasleep was in februari 2026 al goed voelbaar toen de eerste batches klantgegevens op het darkweb verschenen. Sindsdien is de situatie echter volledig geëscaleerd: op 1 maart werd de volledige dataset van 6,5 miljoen Nederlanders gepubliceerd en inmiddels loopt er een grootschalige massaclaim tegen de telecomprovider. Wie precies wil weten wat het risico is van deze enorme dataset die nu definitief in criminele handen is, leest alles in ons dossier: Odido gehackt: 6,5M personen – dit is het echte risico.

Voor organisaties is de les helder: wie data beschermt, moet net zo hard investeren in detectie en beperking van exfiltratie als in klassieke anti-ransomwaremaatregelen. Uiteindelijk is in 2026 de snelheid van detectie belangrijker dan de hoogte van de muur.