De cyberaanval op softwarebedrijf Red Hat heeft een nieuwe wending gekregen nu de hackersgroep ShinyHunters zich heeft aangesloten bij de afpersingspoging. De criminelen publiceerden voorbeelden van gestolen klantgegevens op hun eigen datalekplatform. Daarmee lijkt het incident verder te escaleren.
De aanval werd aanvankelijk opgeëist door een groep die zichzelf Crimson Collective noemt. Zij claimden bijna 570 gigabyte aan interne data te hebben buitgemaakt uit zo’n 28.000 ontwikkelrepositories. Volgens de aanvallers bevat de buit ook honderden zogenoemde Customer Engagement Reports (CER’s), waarin vertrouwelijke informatie staat over de infrastructuur en systemen van klanten. Toen Red Hat niet reageerde op hun afpersingspoging, zochten de criminelen samenwerking met andere groepen.
Uit berichtgeving van BleepingComputer blijkt dat Crimson Collective en Scattered Lapsus$ Hunters samenwerken en gebruikmaken van de dataleksite van ShinyHunters om druk uit te oefenen op Red Hat. In berichten op Telegram omschreven de hackers hun samenwerking als een nieuwe alliantie die tot doel heeft grote bedrijven te ontwrichten.
Op de website van ShinyHunters is inmiddels een vermelding van Red Hat te vinden. Daarin wordt gewaarschuwd dat de gestolen data op 10 oktober zal worden gepubliceerd als het bedrijf niet in onderhandeling treedt. Onder de vrijgegeven voorbeeldbestanden bevinden zich volgens de hackers rapporten van onder meer Walmart, HSBC, de Bank of Canada, Atos Group, American Express, het Amerikaanse ministerie van Defensie en het Franse telecombedrijf SFR. Red Hat heeft tegenover BleepingComputer bevestigd dat de aanval verband houdt met een GitLab-omgeving die uitsluitend werd gebruikt door de consultingdivisie, maar het bedrijf heeft nog niet publiek gereageerd op de nieuwe afpersingsdreiging.
Geen inbreuk op infrastructuur GitLab
Red Hat deelde inmiddels zelf een update over het incident, zoals Techzine meldde. Volgens het bedrijf werd na de ontdekking van de inbraak onmiddellijk actie ondernomen. Daardoor verloor de aanvaller toegang. De getroffen GitLab-instance werd geïsoleerd en de autoriteiten werden ingelicht. Het onderzoek naar de toedracht is nog gaande.
GitLab benadrukt dat er geen inbreuk plaatsvond op zijn infrastructuur. Het incident heeft uitsluitend betrekking op Red Hat’s zelfbeheerde versie van GitLab Community Edition. Klanten die deze gratis versie draaien zijn zelf verantwoordelijk voor beveiliging, updates en toegangsbeheer.
De betrokkenheid van ShinyHunters past in een breder patroon van wat door beveiligingsonderzoekers wordt omschreven als ‘extortion-as-a-service’. Daarbij biedt een groep haar infrastructuur en reputatie aan andere criminelen aan. Dit in ruil voor een deel van de opbrengst, vergelijkbaar met hoe ransomwaregroepen opereren. ShinyHunters zou volgens eigen zeggen ongeveer een kwart van het losgeld ontvangen, terwijl de rest naar de uitvoerende hackers gaat.
Naast Red Hat is ook financieel dienstverlener SP Global als slachtoffer genoemd op het platform van ShinyHunters. Dat bedrijf heeft geen commentaar gegeven op de aantijgingen, maar benadrukt dat het als beursgenoteerde onderneming verplicht is om significante cyberincidenten openbaar te maken.