La compañía de software empresarial Red Hat es el objetivo de una campaña de extorsión del grupo Shinyhunters después de una violación de datos. El incidente, reclamado por primera vez por un grupo llamado Crimson Collective, involucra informes robados de clientes y ha llevado a una nueva colaboración entre las organizaciones de piratería.
Los datos iniciales de violación y robo
La violación se anunció la semana pasada cuando el Crimson Collective afirmó que había robado casi 570 gigabytes de datos comprimidos de 28,000 de los repositorios de desarrollo interno de Red Hat. Se dice que una parte clave de los datos robados es de aproximadamente 800 informes de participación del cliente (CERS). Estos documentos son altamente sensibles, ya que pueden contener detalles específicos sobre la arquitectura de red de un cliente, la infraestructura de TI y las plataformas operativas. Los atacantes declararon que intentaron contactar a Red Hat para un pago de rescate, pero no recibieron respuesta. Red Hat luego confirmó que había experimentado un incidente de seguridad, especificando que la violación se limitaba a una instancia de GitLab utilizada por su división de consultoría para el trabajo de participación del cliente.
Escalada a través de una nueva alianza
La situación se intensificó cuando Crimson Collective anunció una asociación con otro grupo, dispersó Lapsus $ cazadores, para aprovechar el sitio de fuga de datos Shinyhunters recientemente lanzado para sus esfuerzos de extorsión. En una publicación en su canal de telegrama, Crimson Collective insinuó la alianza.
«¿Qué pasa si, la brillantez de Crimson se extiende aún más?»
Más tarde, el grupo confirmó la colaboración, afirmando que trabajarían con Shinyhunters en futuros ataques y lanzamientos de datos. Después de esto, apareció una entrada para Red Hat en el sitio web de fugas de datos y extorsión de Shinyhunters. La publicación sirve como una advertencia pública, estableciendo una fecha límite del 10 de octubre para que un rescate se negocie directamente con Shinyhunters. Para probar sus reclamos, los atacantes publicaron muestras de los informes robados de participación del cliente, que incluían documentos relacionados con las principales corporaciones y organismos gubernamentales, incluidos Walmart, HSBC, el Banco de Canadá, el Departamento de Defensa y American Express.
El modelo de extorsión como servicio de extorsión de Shinyhunters confirmado
El incidente confirma la especulación de larga data de que Shinyhunters opera como una plataforma de extorsión como servicio (EAAS). Este modelo funciona como el ransomware como servicio, donde los operadores de la plataforma trabajan con diferentes grupos de piratería para realizar extorsión y tomar un porcentaje de cualquier pago de rescate. Shinyhunters ahora ha confirmado que opera este modelo, detallando la división de ingresos. El grupo declaró que los piratas informáticos con los que trabajan generalmente toman el 70-75% del pago, mientras que Shinyhunters recibe un recorte del 25-30%. El lanzamiento del sitio de fuga de datos públicos marca un cambio de un servicio privado a un servicio de extorsión de orientación pública.
Otros objetivos en la plataforma Shinyhunters
El sitio de Shinyhunters también se está utilizando para extorsionar la empresa de información financiera y análisis S&P Global en nombre de un atacante diferente. Ese grupo afirmó haber violado S&P Global en febrero de 2025, un reclamo que la compañía negó en ese momento. Las muestras de datos afirmadas de ser del ataque ahora se han publicado en el sitio de Shinyhunters con la misma fecha límite del 10 de octubre. Cuando se contactó nuevamente, un representante de S&P Global se negó a abordar las reclamaciones directamente, declarando: «Como empresa que cotiza en Estados Unidos, debemos divulgar públicamente los incidentes de seguridad cibernética material».
