Crimson Collective вымогает у Red Hat через Telegram после нарушения

Crimson Collective вымогает у Red Hat через Telegram после нарушения

1 октября 2025 года новая группа вымогателей Crimson Collective, действующая через Telegram, заявила о значительном нарушении безопасности частных репозиториев компании Red Hat. Группа, созданная примерно за неделю до инцидента, быстро привлекла внимание, опубликовав утверждения о взломе и демонстрации предполагаемых доказательств в публичном канале.

Ключевые факты

  • Дата инцидента: 1 октября 2025 года.
  • Актор: Crimson Collective — недавно созданная группа вымогателей, использующая Telegram для публикации «доказательств» и вымогательства.
  • Цель: частные репозитории Red Hat (точные объекты и объем похищенных данных пока не подтверждены).
  • Предыстория: группа ранее заявляла о взломе Claro Colombia и краже более 50 млн клиентских счетов-фактур и внутренних файлов.
  • Коммуникация с Red Hat: Crimson Collective утверждает, что пыталась связаться по официальным каналам, но получила общий ответ о раскрытии уязвимости, который группа сочла неадекватным; при этом были опубликованы скриншоты, якобы подтверждающие участие нескольких сотрудников Red Hat в обработке запроса.
  • Заявление Red Hat: компания отметила, что нарушение не связано с недавно раскрытой уязвимостью OpenShift AI, идентифицированной как CVE-2025-10725.
  • Текущий статус: методы атаки не верифицированы, потенциальное воздействие похищенных данных требует дальнейшей оценки.

Хронология и поведение группы

Crimson Collective появилась незадолго до инцидента и для установления доверия использует типичную для вымогателей тактику: публичные заявления о нападениях и публикация предполагаемых доказательств (скриншотов, выборочных файлов). Такая публичность преследует несколько целей — привлечение внимания, давление на организацию-цель и попытка ускорить выплату выкупа.

Методы и неопределённости

Пока нет подтверждённых данных о конкретных техниках, использованных при взломе. Отдельно стоит подчеркнуть важный момент: Red Hat прямо заявила, что инцидент не связан с CVE-2025-10725 (OpenShift AI), что указывает на возможное использование других уязвимостей, неправильной конфигурации, утечек учётных данных или компрометации цепочки поставок, которые ещё не были публично раскрыты.

Реакция Red Hat и вопросы коммуникации

По заявлениям Crimson Collective, попытки связаться с Red Hat через официальные каналы завершились «общим ответом о раскрытии уязвимости», который группа посчитала неудовлетворительным. Эти утверждения подчёркивают потенциальные слабые места в процессах реагирования и коммуникации по инцидентам — как в части утверждения факта компрометации, так и в части прозрачности и оперативности реагирования.

Red Hat заявила, что нарушение не связано с недавно раскрытой уязвимостью OpenShift AI (CVE-2025-10725).

Последствия и риски

  • Репутационные риски для Red Hat и потенциальный вред для клиентов и партнёров, зависящих от её решений и репозиториев.
  • Риск компрометации цепочки поставок ПО, если в репозиториях содержатся артефакты, используемые внешними проектами и клиентами.
  • Усиление тренда: злоумышленники всё чаще используют общедоступные каналы (Telegram, leak-сайты) для давления и получения выгоды, делая атаки более публичными и громкими.

Рекомендации для организаций

  • Провести срочный аудит доступа к репозиториям и инвентаризацию секретов (tokens, ключи, credentials).
  • Ротация взломанных или потенциально скомпрометированных учётных данных и секретов.
  • Проверка конфигураций CI/CD, ограничение прав доступа по принципу наименьших привилегий и мониторинг активностей в репозиториях.
  • Внедрение или усиление механизмов обнаружения аномалий и логирования для раннего выявления компрометаций.
  • Налаживание каналов координации с CERT/CSIRT и, при необходимости, правоохранительными органами; подготовка прозрачных и оперативных коммуникаций для пострадавших клиентов и партнёров.
  • Отслеживание каналов утечек и публичных объявлений в Telegram и на других площадках.

Вывод

Инцидент с участием Crimson Collective снова напоминает, что даже крупные и уважаемые поставщики могут быть уязвимы перед новыми, наглыми группами вымогателей. Ключевые вопросы остаются открытыми: какие конкретно данные были получены, какие техники использовались злоумышленниками и как быстро пострадавшие смогут оценить и устранить последствия. Пока детали не подтверждены, организациям и поставщикам ПО следует усилить мониторинг, ускорить аудит безопасности и готовиться к более агрессивным и публичным попыткам вымогательства в будущем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: