Când giganții software-ului enterprise devin ținta grupărilor de extorcare, toată lumea din domeniu observă cu atenție. Această poveste îl are în prim-plan pe Red Hat, recunoscut pentru soluțiile sale open source, și grupările de hackeri care au început să publice fragmente din date furate și să ceară bani pentru a le păstra private.
Să luăm cronologic: săptămâna trecută a apărut informația că un colectiv denumit Crimson Collective pretinde că a sustras aproape 570 GB de date comprimate din aproximativ 28.000 de repository-uri interne de dezvoltare. Printre materialele revendicate se numără în jur de 800 de Customer Engagement Reports, rapoarte folosite în consultanță care pot conține detalii sensibile despre rețele, infrastructuri și platforme ale clienților. Practic, astfel de documente pot oferi indicii directe despre configurarea și securizarea mediilor IT ale unor mari organizații. Atacatorii afirmă că au încercat să extorcheze Red Hat cerând o răscumpărare pentru a nu publica datele, dar nu ar fi primit răspuns.
Red Hat a confirmat ulterior pentru presa tech că breșa a vizat instanța lor GitLab, utilizată exclusiv pentru activitățile de consultanță. Aceasta explică prezența rapoartelor de engagement cu clienți printre datele expuse. După dezvăluire, alți actori malițioși au încercat să contacteze Crimson Collective, iar situația a evoluat într-o colaborare nefericită: Crimson Collective a anunțat o alianță cu Scattered Lapsus$ Hunters pentru a folosi site-ul de scurgere a datelor lansat de ShinyHunters în continuarea tentativei de extorcare.
Pe site-ul ShinyHunters a apărut o pagină dedicată Red Hat, conținând o amenințare clară: datele ar urma să fie publicate pe 10 octombrie dacă nu se negociază o răscumpărare. Pentru a-și susține revendicările, atacatorii au făcut publice mostre din CER-uri care ar aparține unor nume importante: Walmart, HSBC, Bank of Canada, Atos Group, American Express, Department of Defence și Société Française du Radiotéléphone. Red Hat nu a comentat imediat aceste noi detalii când a fost contactată de presă.
Cine sunt ShinyHunters și ce caută? De câteva luni, jurnaliștii specializați în securitate cibernetică suspectau că ShinyHunters funcționează ca un serviciu de extorcare, practic un Extortion-as-a-Service, în care grupul oferă platforma și audiența pentru a vinde sau valorifica datele furate în schimbul unui comision, asemănător modelului Ransomware-as-a-Service. Suspiciunea a fost întărită de faptul că atacuri variate, revendicate sub numele ShinyHunters, au vizat companii mari precum Oracle Cloud și PowerSchool. De asemenea, discuțiile anterioare cu persoane asociate numelui ShinyHunters indicau că uneori grupul acționează mai mult ca intermediar decât ca autor originar al breșei.
De-a lungul timpului au fost și arestări ale unor indivizi legați de operațiuni sub numele ShinyHunters, inclusiv în cazuri de furt de date de la Snowflake, breșe la PowerSchool sau administrarea forumului Breached v2. Cu toate acestea, atacurile care se semnează We are ShinyHunters au continuat, sugerând un model fragmentat, cu multiple persoane sau echipe folosind aceeași etichetă. Un interlocutor care afirmă că a colaborat cu ShinyHunters a declarat că modelul obișnuit presupune ca brokerii sau partenerii să ia 70–75% din plată, iar el 25–30%. Odată cu lansarea site-ului de scurgeri, acest „serviciu” pare să fi devenit mai vizibil și mai formalizat.
Pe lângă Red Hat, ShinyHunters a inclus recent și S&P Global pe lista țintelor, susținând că ar fi avut acces la datele companiei încă din februarie 2025. S&P Global a refuzat să comenteze în detaliu, menționând doar obligațiile de raportare publică pentru incidente de securitate materială în cazul unei companii listate în SUA. Chiar și atunci când o companie neagă o breșă, publicarea de probe pe un site de scurgeri creează presiune și obligații de investigare și transparență.
Cazul readuce în prim-plan două aspecte esențiale: vulnerabilitatea mediilor interne folosite pentru consultanță, precum instanțele GitLab dedicate proiectelor clienților, și evoluția modelelor de criminalitate cibernetică către servicii partajabile, în care atacatorii cooperează, intermediază sau externalizează operațiunile. Numele apărute în mostre, Walmart, HSBC, Bank of Canada, American Express, Department of Defence, arată că țintele includ atât companii private, cât și instituții cu impact strategic. În plus, termenul impus de atacatori și transformarea site-urilor de scurgeri într-o piață publică pentru date furate schimbă dinamica răspunsului companiilor și presiunea asupra lor de a dezvălui sau de a negocia.
Exemplul Red Hat subliniază necesitatea separării stricte între infrastructura internă de dezvoltare și cea folosită pentru proiectele clienților, precum și importanța mecanismelor robuste de monitorizare, backup și reacție rapidă. În același timp, apariția platformelor ca ShinyHunters transformă extorcarea într-o activitate mai organizată și, din păcate, mai greu de combătut doar prin măsuri reactive.
ShinyHunters a pus un termen până pe 10 octombrie, iar printre fișierele expuse se numără CER-uri pentru organizații precum Walmart, HSBC sau Bank of Canada. Cum ar trebui companii precum Red Hat sau S&P Global să-și ajusteze procesele interne de consultanță și protecție a datelor pentru a preveni expuneri similare?
Fii primul care comentează