La società di software aziendale Red Hat è l’obiettivo di una campagna di estorsione da parte del gruppo ShinyHunters a seguito di una violazione dei dati. L’incidente, rivendicato per la prima volta da un gruppo chiamato Crimson Collective, riguarda rapporti di clienti rubati e ha portato a una nuova collaborazione tra le organizzazioni di hacker.
La violazione iniziale e i dati rubati
La violazione è stata annunciata la scorsa settimana quando il Crimson Collective ha affermato di aver rubato quasi 570 gigabyte di dati compressi da 28.000 repository di sviluppo interno di Red Hat. Si dice che una parte fondamentale dei dati rubati siano circa 800 Customer Engagement Report (CER). Questi documenti sono altamente sensibili in quanto possono contenere dettagli specifici sull’architettura di rete, sull’infrastruttura IT e sulle piattaforme operative di un cliente. Gli aggressori hanno dichiarato di aver tentato di contattare Red Hat per il pagamento di un riscatto, ma di non aver ricevuto risposta. Red Hat ha successivamente confermato di aver subito un incidente di sicurezza, specificando che la violazione era limitata a un’istanza GitLab utilizzata dalla sua divisione di consulenza per il lavoro di coinvolgimento dei clienti.
Escalation attraverso una nuova alleanza
La situazione si è aggravata quando il Crimson Collective ha annunciato una partnership con un altro gruppo, Scattered Lapsus$ Hunters, per sfruttare il sito di fuga di dati ShinyHunters appena lanciato per i loro sforzi di estorsione. In un post sul suo canale Telegram, il Crimson Collective ha accennato all’alleanza.
“E se la brillantezza di Crimson si estendesse ancora più lontano?”
Il gruppo ha successivamente confermato la collaborazione, affermando che avrebbe lavorato con ShinyHunters su futuri attacchi e rilasci di dati. Successivamente, sul sito web di fuga di dati ed estorsione di ShinyHunters è apparsa una voce per Red Hat. Il post funge da avvertimento pubblico, fissando come scadenza il 10 ottobre un riscatto da negoziare direttamente con ShinyHunters. Per dimostrare le loro affermazioni, gli aggressori hanno rilasciato campioni dei Customer Engagement Reports rubati, che includevano documenti relativi a importanti aziende ed enti governativi, tra cui Walmart, HSBC, la Banca del Canada, il Dipartimento della Difesa e American Express.
Confermato il modello estorsione come servizio di ShinyHunters
L’incidente conferma le speculazioni di lunga data secondo cui ShinyHunters opera come una piattaforma di estorsione come servizio (EaaS). Questo modello funziona come un ransomware-as-a-service, in cui gli operatori della piattaforma lavorano con diversi gruppi di hacker per condurre estorsioni e prendere una percentuale di eventuali pagamenti di riscatto. ShinyHunters ha ora confermato di utilizzare questo modello, descrivendo in dettaglio la ripartizione delle entrate. Il gruppo ha affermato che gli hacker con cui lavorano in genere prendono il 70-75% del pagamento, mentre ShinyHunters riceve una riduzione del 25-30%. Il lancio del sito pubblico di fuga di dati segna il passaggio da un servizio di estorsione rivolto al privato a un servizio pubblico.
Altri obiettivi sulla piattaforma ShinyHunters
Il sito ShinyHunters viene utilizzato anche per estorcere informazioni alla società di informazioni e analisi finanziarie S&P Global per conto di un altro aggressore. Quel gruppo affermò di aver violato S&P Global nel febbraio 2025, affermazione che la società all’epoca negò. I campioni di dati che si ritiene provengano dall’attacco sono stati ora pubblicati sul sito ShinyHunters con la stessa scadenza del 10 ottobre. Quando è stato nuovamente contattato, un rappresentante di S&P Global ha rifiutato di rispondere direttamente alle affermazioni, affermando: “in quanto società quotata negli Stati Uniti, siamo tenuti a rivelare pubblicamente incidenti materiali di sicurezza informatica”.
