Enterprise softwarebedrijf Red Hat is het doelwit van een afpersingscampagne van de Shinyhunters Group na een datalek. Het incident, voor het eerst geclaimd door een groep genaamd het Crimson Collective, omvat gestolen klantrapporten en heeft geleid tot een nieuwe samenwerking tussen de hackorganisaties.
De eerste inbreuk en gestolen gegevens
De inbreuk werd vorige week aangekondigd toen het Crimson Collective beweerde dat het bijna 570 gigabytes gecomprimeerde gegevens had gestolen van 28.000 interne ontwikkelingsrepositories van Red Hat. Van een belangrijk onderdeel van de gestolen gegevens wordt gezegd dat het ongeveer 800 klantbetrokkenheidsrapporten (CERS) is. Deze documenten zijn zeer gevoelig omdat ze specifieke details kunnen bevatten over de netwerkarchitectuur van een klant, IT -infrastructuur en operationele platforms. De aanvallers verklaarden dat ze probeerden contact op te nemen met Red Hat voor een losgeldbetaling, maar ontvingen geen reactie. Red Hat bevestigde later dat het een beveiligingsincident had meegemaakt, en gaf aan dat de inbreuk beperkt was tot een GitLab -exemplaar dat door de adviesdivisie werd gebruikt voor werkzaamheden voor klantbetrokkenheid.
Escalatie door een nieuwe alliantie
De situatie escaleerde toen Crimson Collective een partnerschap aankondigde met een andere groep, verspreide Lapsus $ jagers, om de nieuw gelanceerde Shinyhunters Data Lek -site te benutten voor hun afpersingspersen. In een post op zijn telegramkanaal liet Crimson Collective doorschemeren naar de Alliantie.
“Wat als, de glans van Crimson reikt nog verder weg?”
De groep bevestigde later de samenwerking en verklaarde dat ze zouden samenwerken met Shinyhunters aan toekomstige aanvallen en gegevensreleases. Hierna verscheen een inzending voor Red Hat op de Shinyhunters Data Lek and Persortion -website. De post dient als een openbare waarschuwing en zet een deadline van 10 oktober in voor een losgeld dat rechtstreeks met glinyhunters wordt onderhandeld. Om hun claims te bewijzen, hebben de aanvallers monsters vrijgegeven van de gestolen klantbetrokkenheidsrapporten, waaronder documenten met betrekking tot grote bedrijven en overheidsinstanties, waaronder Walmart, HSBC, de Bank of Canada, het ministerie van Defensie en American Express.
Shinyhunters ‘afpersing-as-a-service model bevestigd
Het incident bevestigt langdurige speculatie dat Shinyhunters opereert als een afpersing-as-a-service (EAAS) -platform. Dit model functioneert zoals ransomware-as-a-service, waarbij de operators van het platform met verschillende hackgroepen werken om afpersing uit te voeren en een percentage van losgeldbetalingen te nemen. Shinyhunters heeft nu bevestigd dat het dit model exploiteert en de omzetsplitsing detailleert. De groep verklaarde dat de hackers met wie ze werken meestal 70-75% van de betaling nemen, terwijl glanzende hunters een verlaging van 25-30% ontvangt. De lancering van de openbare gegevensleksite markeert een verschuiving van een particuliere naar een openbare afpersingservice.
Andere doelen op het Shinyhunters -platform
De Shinyhunters -site wordt ook gebruikt om de financiële informatie- en analysebedrijf S&P Global namens een andere aanvaller af te persen. Die groep beweerde S&P Global in februari 2025 te hebben overtreden, een claim die het bedrijf destijds ontkende. Gegevensmonsters die worden beweerd uit de aanval te zijn, zijn nu op de Shinyhunters -site geplaatst met dezelfde deadline van 10 oktober. Wanneer opnieuw contact opgenomen, weigerde een vertegenwoordiger voor S&P Global de claims rechtstreeks aan te pakken en verklaarde: “Als een Amerikaans vermeld bedrijf moeten we publiekelijk cybersecurity -incidenten openbaar maken.”
