Red Hat firmy Enterprise Software jest celem kampanii wymuszeń przez Grupa ShinyHunters po naruszeniu danych. Incydent, po raz pierwszy, po raz pierwszy grupa o nazwie Crimson Collective, obejmuje skradzione raporty klientów i doprowadził do nowej współpracy między organizacjami hakerskimi.
Początkowe naruszenie i skradzione dane
Naruszenie zostało ogłoszone w zeszłym tygodniu, gdy Crimson Collective twierdził, że ukradł prawie 570 gigabajtów skompresowanych danych z 28 000 wewnętrznych repozytoriów rozwoju Red Hat. Mówi się, że kluczową częścią skradzionych danych jest około 800 raportów zaangażowania klientów (CERS). Dokumenty te są bardzo wrażliwe, ponieważ mogą zawierać szczegółowe informacje na temat architektury sieci klienta, infrastruktury IT i platform operacyjnych. Atakujący stwierdzili, że próbowali skontaktować się z Red Hat w sprawie płatności okupu, ale nie otrzymali odpowiedzi. Red Hat potwierdził później, że doświadczył incydentu w zakresie bezpieczeństwa, określając, że naruszenie było ograniczone do instancji Gitlab używanej przez dział konsultingowy w celu zaangażowania klientów.
Eskalacja za pośrednictwem nowego sojuszu
Sytuacja eskalowała, gdy Crimson Collective ogłosił partnerstwo z inną grupą, rozproszonymi Lapsus $ Hunters, aby wykorzystać nowo uruchomioną witrynę wycieków danych ShinyHunters w celu ich wymuszenia. W poście na swoim kanale telegramowym Crimson Collective zasugerował Sojusz.
„A jeśli błyskotliwość Crimsona rozciąga się jeszcze bardziej?”
Grupa później potwierdziła współpracę, stwierdzając, że będą współpracować z ShinyHunters przy przyszłych atakach i wydaniach danych. Następnie na stronie wycieku danych i wyrzucania danych pojawił się wpis dla Red Hat. Post służy jako ostrzeżenie publiczne, ustanawiając termin 10 października, aby okup został negocjowany bezpośrednio z Shinyhunters. Aby udowodnić swoje roszczenia, atakujący opublikowali próbki skradzionych raportów zaangażowania klientów, które obejmowały dokumenty związane z głównymi korporacjami i organami rządowymi, w tym Walmart, HSBC, Bank of Canada, Departament Obrony i American Express.
Potwierdzono model wymuszenia błyszczącego jako model wymuszenia
Incydent potwierdza długotrwałe spekulacje, że ShinyHunters działa jako platforma wymuszenia jako usługi (EAAS). Ten model działa jak Ransomware-As-A-Service, w której operatorzy platformy pracują z różnymi grupami hakerscy w celu przeprowadzenia wymuszenia i pobrania odsetka wszelkich płatności okupowych. ShinyHunters potwierdził teraz, że obsługuje ten model, szczegółowo opisując podział przychodów. Grupa stwierdziła, że hakerzy, z którymi pracują, zwykle zajmują 70–75% płatności, podczas gdy Shinyhunterzy otrzymuje obniżkę o 25-30%. Uruchomienie witryny publicznej przecieki danych oznacza przejście z prywatnej na publiczną usługę wymuszenia.
Inne cele na platformie ShinyHunters
Witryna ShinyHunters jest również wykorzystywana do wymuszenia firmy finansowej i analityki S&P Global w imieniu innego atakującego. Ta grupa twierdziła, że naruszyła S&P Global w lutym 2025 r., Roszczenie, o które firma odmówiła wówczas. Próbki danych potwierdzonych z ataku zostały teraz opublikowane na stronie Shinyhunters z tym samym terminem 10 października. Po ponownym skontaktowaniu się, przedstawiciel S&P Global odmówił bezpośredniego rozwiązania roszczeń, stwierdzając: „Jako spółka giełdowa w USA jesteśmy zobowiązani do publicznego ujawnienia istotnych incydentów związanych z bezpieczeństwem cybernetycznym”.
