La société de logiciels d’entreprise Red Hat est la cible d’une campagne d’extorsion du groupe Shinyhunters à la suite d’une violation de données. L’incident, affirmé pour la première fois par un groupe appelé The Crimson Collective, implique des rapports de clients volés et a conduit à une nouvelle collaboration entre les organisations de piratage.
La violation initiale et les données volées
La violation a été annoncée la semaine dernière lorsque le Crimson Collective a affirmé avoir volé près de 570 gigaoctets de données compressées de 28 000 des référentiels de développement interne de Red Hat. Un élément clé des données volées serait environ 800 rapports d’engagement client (CERS). Ces documents sont très sensibles car ils peuvent contenir des détails spécifiques sur l’architecture de réseau d’un client, l’infrastructure informatique et les plateformes opérationnelles. Les assaillants ont déclaré avoir tenté de contacter Red Hat pour un paiement de rançon mais n’ont reçu aucune réponse. Red Hat a confirmé plus tard qu’il avait connu un incident de sécurité, spécifiant que la violation était limitée à une instance Gitlab utilisée par sa division de conseil pour les travaux d’engagement client.
Escalade à travers une nouvelle alliance
La situation s’est intensifiée lorsque Crimson Collective a annoncé un partenariat avec un autre groupe, dispersé de chasseurs de lapsus $, afin de tirer parti du site de fuite de données Shinyhunters nouvellement lancé pour leurs efforts d’extorsion. Dans un article sur sa chaîne Telegram, Crimson Collective a fait allusion à l’alliance.
« Et si, la brillance de Crimson s’étend encore plus loin? »
Le groupe a ensuite confirmé la collaboration, déclarant qu’ils travailleraient avec des shinyhunters sur les futures attaques et versions de données. Suite à cela, une entrée pour Red Hat est apparue sur le site Web de Data Don et d’extorsion de ShinyHunters. Le poste sert d’avertissement public, fixant une date limite du 10 octobre pour une rançon à négocier directement avec Shinyhunters. Pour prouver leurs réclamations, les attaquants ont publié des échantillons des rapports d’engagement des clients volés, qui comprenaient des documents liés aux grandes sociétés et aux organismes gouvernementaux, notamment Walmart, HSBC, la Banque du Canada, le ministère de la Défense et American Express.
Modèle d’extorsion de Shinyhunters en tant que service confirmé
L’incident confirme les spéculations de longue date selon lesquelles Shinyhunters fonctionne comme une plate-forme d’extorsion en tant que service (EAAs). Ce modèle fonctionne comme le ransomware en tant que service, où les opérateurs de la plate-forme travaillent avec différents groupes de piratage pour effectuer l’extorsion et prendre un pourcentage de tout paiement de rançon. Shinyhunters a maintenant confirmé qu’il exploite ce modèle, détaillant la division des revenus. Le groupe a déclaré que les pirates avec lesquels ils travaillent prennent généralement 70 à 75% du paiement, tandis que Shinyhunters reçoit une baisse de 25 à 30%. Le lancement du site de fuite de données publiques marque un passage d’un privé à un service d’extorsion orienté public.
Autres cibles sur la plate-forme Shinyhunters
Le site Shinyhunters est également utilisé pour extorquer la société d’informations financières et d’analyse S&P Global au nom d’un attaquant différent. Ce groupe a affirmé avoir violé S&P Global en février 2025, une réclamation rejetée par la société à l’époque. Les échantillons de données affirmés proviennent de l’attaque ont maintenant été publiés sur le site de Shinyhunters avec la même date limite du 10 octobre. Une fois contactée à nouveau, un représentant de S&P Global a refusé de répondre directement aux réclamations, déclarant: « En tant que société cotée aux États-Unis, nous sommes tenus de divulguer publiquement des incidents de cybersécurité importants. »
