Crimson Collective вымогает у Red Hat через Telegram после нарушения

1 октября 2025 года новая группа вымогателей Crimson Collective, действующая через Telegram, заявила о значительном нарушении безопасности частных репозиториев компании Red Hat. Группа, созданная примерно за неделю до инцидента, быстро привлекла внимание, опубликовав утверждения о взломе и демонстрации предполагаемых доказательств в публичном канале.
Ключевые факты
- Дата инцидента: 1 октября 2025 года.
- Актор: Crimson Collective — недавно созданная группа вымогателей, использующая Telegram для публикации «доказательств» и вымогательства.
- Цель: частные репозитории Red Hat (точные объекты и объем похищенных данных пока не подтверждены).
- Предыстория: группа ранее заявляла о взломе Claro Colombia и краже более 50 млн клиентских счетов-фактур и внутренних файлов.
- Коммуникация с Red Hat: Crimson Collective утверждает, что пыталась связаться по официальным каналам, но получила общий ответ о раскрытии уязвимости, который группа сочла неадекватным; при этом были опубликованы скриншоты, якобы подтверждающие участие нескольких сотрудников Red Hat в обработке запроса.
- Заявление Red Hat: компания отметила, что нарушение не связано с недавно раскрытой уязвимостью OpenShift AI, идентифицированной как CVE-2025-10725.
- Текущий статус: методы атаки не верифицированы, потенциальное воздействие похищенных данных требует дальнейшей оценки.
Хронология и поведение группы
Crimson Collective появилась незадолго до инцидента и для установления доверия использует типичную для вымогателей тактику: публичные заявления о нападениях и публикация предполагаемых доказательств (скриншотов, выборочных файлов). Такая публичность преследует несколько целей — привлечение внимания, давление на организацию-цель и попытка ускорить выплату выкупа.
Методы и неопределённости
Пока нет подтверждённых данных о конкретных техниках, использованных при взломе. Отдельно стоит подчеркнуть важный момент: Red Hat прямо заявила, что инцидент не связан с CVE-2025-10725 (OpenShift AI), что указывает на возможное использование других уязвимостей, неправильной конфигурации, утечек учётных данных или компрометации цепочки поставок, которые ещё не были публично раскрыты.
Реакция Red Hat и вопросы коммуникации
По заявлениям Crimson Collective, попытки связаться с Red Hat через официальные каналы завершились «общим ответом о раскрытии уязвимости», который группа посчитала неудовлетворительным. Эти утверждения подчёркивают потенциальные слабые места в процессах реагирования и коммуникации по инцидентам — как в части утверждения факта компрометации, так и в части прозрачности и оперативности реагирования.
Red Hat заявила, что нарушение не связано с недавно раскрытой уязвимостью OpenShift AI (CVE-2025-10725).
Последствия и риски
- Репутационные риски для Red Hat и потенциальный вред для клиентов и партнёров, зависящих от её решений и репозиториев.
- Риск компрометации цепочки поставок ПО, если в репозиториях содержатся артефакты, используемые внешними проектами и клиентами.
- Усиление тренда: злоумышленники всё чаще используют общедоступные каналы (Telegram, leak-сайты) для давления и получения выгоды, делая атаки более публичными и громкими.
Рекомендации для организаций
- Провести срочный аудит доступа к репозиториям и инвентаризацию секретов (tokens, ключи, credentials).
- Ротация взломанных или потенциально скомпрометированных учётных данных и секретов.
- Проверка конфигураций CI/CD, ограничение прав доступа по принципу наименьших привилегий и мониторинг активностей в репозиториях.
- Внедрение или усиление механизмов обнаружения аномалий и логирования для раннего выявления компрометаций.
- Налаживание каналов координации с CERT/CSIRT и, при необходимости, правоохранительными органами; подготовка прозрачных и оперативных коммуникаций для пострадавших клиентов и партнёров.
- Отслеживание каналов утечек и публичных объявлений в Telegram и на других площадках.
Вывод
Инцидент с участием Crimson Collective снова напоминает, что даже крупные и уважаемые поставщики могут быть уязвимы перед новыми, наглыми группами вымогателей. Ключевые вопросы остаются открытыми: какие конкретно данные были получены, какие техники использовались злоумышленниками и как быстро пострадавшие смогут оценить и устранить последствия. Пока детали не подтверждены, организациям и поставщикам ПО следует усилить мониторинг, ускорить аудит безопасности и готовиться к более агрессивным и публичным попыткам вымогательства в будущем.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



