Известната изнудваческа групировка ShinyHunters публикува в тъмната мрежа мащабен набор от данни, свързани с две водещи американски инвестиционни консултантски компании – Mercer Advisors и Beacon Pointe Advisors. Изтичането идва след отправен 48-часов ултиматум, на който компаниите не са реагирали публично.

Според атакуващите, ако исканията им не бъдат изпълнени, чувствителната информация ще бъде разкрита – сценарий, който вече е факт.

Какво знаем за атаката?

Миналата седмица двете компании са получили предупреждения, че нападателите разполагат с милиони записи вътрешни данни. Източникът на заплахата не е случаен – ShinyHunters има дълга история на високопрофилни кражби на данни и използване на публикуването им като инструмент за натиск.

Подобни тактики са типични за киберизнудването:

• първо – заплаха,

• след това – преговори,

• при отказ – публично излагане на данните с цел репутационен и правен удар.

Кои са засегнатите компании?

Beacon Pointe Advisors, базирана в Нюпорт Бийч, Калифорния, е най-големият независимо регистриран инвестиционен консултант в САЩ, ръководен от жени. Компанията управлява около 62 млрд. долара клиентски активи и има над 600 служители. През 2021 г. тя получи подкрепа от Kohlberg Kravis Roberts, което я утвърди сред елита на Уолстрийт, а по-късно зае седмо място в класацията Barron’s Top 100 RIA.

Mercer Advisors, със седалище в Денвър, управлява приблизително 92 млрд. долара и има около 1 500 служители. Компанията оглави класацията на Barron’s за най-добри RIA както през 2024, така и през 2025 г.

Какви данни са изтекли?

Според анализ публикувания набор от данни включва:

• пълни имена на клиенти;

• данни за контакт;

• пълни или частични социалноосигурителни номера (SSN);

• адреси и данни за спешни контакти;

• вътрешни обучителни материали за служители;

• договори между Mercer и клиенти, както и между клиенти и инвестиционни компании, съдържащи лични данни;

• различни правни документи.

Нападателите твърдят, че разполагат с над 5 милиона записа – твърдение, което изглежда достоверно, тъй като анализът показва около 5.7 милиона записа, макар и с дублирани данни. Размерът на пакета, приписван на Mercer Advisors, е около 5 GB, докато този за Beacon Pointe Advisors достига 60 GB.

Нов пробив или стари данни?

Това не е първият инцидент със сигурността за Mercer Advisors. През 2025 г. компанията разкри пробив, свързан с придобиването на Tufton Capital, засегнал 661 души. Тогава атакуващите са имали достъп до част от мрежата в рамките на два дни през май 2025 г.

На този етап не е ясно дали настоящото изтичане е свързано с този по-ранен инцидент или става дума за повторно използване на стари данни – практика, която не е рядкост в подземния киберсвят.

ShinyHunters – ускоряваща се заплаха

През 2026 г. ShinyHunters е свързвана с vishing кампании за кражба на SSO идентификационни данни за услуги на Microsoft, Google и Okta. Групата е поемала отговорност и за пробиви или предполагаеми пробиви в редица известни компании, включително Bumble, Match Group, Panera Bread и Crunchbase.

Освен това тя е асоциирана с мащабното изтичане на данни от Salesforce през 2025 г., засегнало корпоративни облачни услуги и клиентски бази данни.

На 25 юни 2025 г. френските власти обявиха ареста на четирима предполагаеми членове на групата в различни региони на Франция – факт, който обаче очевидно не е сложил край на дейността ѝ.

Случаят с Mercer Advisors и Beacon Pointe Advisors показва, че дори най-елитните финансови институции не са имунизирани срещу добре организирани киберизнудвачески групи. Публикуването на подобни обеми чувствителни данни не е просто технически инцидент – то има потенциални последици за клиентите, регулаторите и доверието в целия финансов сектор.