Los grupos Crimson Collective y ShinyHunters aseguran haber robado más de 500 GB de datos de repositorios internos de Red Hat, incluyendo informes confidenciales de clientes. La compañía confirmó una brecha en una instancia de GitLab, aunque descarta impactos en otros servicios o en su cadena de suministro.
Red Hat, una de las principales empresas de software empresarial del mundo, se encuentra en medio de una crisis de ciberseguridad tras confirmar un incidente que afectó a su división de consultoría. La compañía reconoció que una de sus instancias de GitLab fue comprometida, permitiendo el acceso no autorizado a información interna.
“Recientemente detectamos un acceso no autorizado a una instancia de GitLab utilizada para la colaboración interna de Red Hat Consulting en proyectos seleccionados”, señaló la empresa en un comunicado, junto con agregar que “un tercero no autorizado había accedido y copiado algunos datos de esta instancia”. El mensaje también indica que la empresa “tras la detección, iniciamos de inmediato una investigación exhaustiva, eliminamos el acceso no autorizado, aislamos la instancia y contactamos a las autoridades competentes”, y que posteriormente implementaron “medidas de endurecimiento adicionales diseñadas para ayudar a prevenir un mayor acceso y contener el problema”.
La compañía aclaró que el incidente no afecta a otros servicios o productos de Red Hat ni ha comprometido su cadena de suministro de software.
El grupo de cibercriminales autodenomina como Crimson Collective se atribuyó el incidente e indicó en una cuenta de Telegram haber robado cerca de 570 GB de datos comprimidos, que incluirían más de 28 mil repositorios de desarrollo interno y alrededor de 800 informes de compromiso con clientes (CERs). Estos documentos suelen contener información sensible sobre la infraestructura de los clientes, como configuraciones, credenciales y tokens de autenticación.
Más tarde, el grupo ShinyHunters se sumó al caso luego de asociarse con Crimson Collective para continuar los intentos de extorsión. Ambos anunciaron su alianza a través de la cuenta de Telegram, comparándola irónicamente con la creación de una “nueva OTAN” dedicada a “arruinar las mentes corporativas”.
Red Hat es parte de las 39 empresas extorsionadas para lograr el pago de rescate de los datos robados antes viernes 10 de octubre y cuyo sitio fue recientemente incautado por el FBI y las autoridades francesas.
La alianza con ShinyHunters refuerza la hipótesis de que este grupo opera bajo un modelo de “extorsión como servicio” (EaaS), actuando como intermediario entre distintos atacantes a cambio de un porcentaje del rescate obtenido. Según declaraciones de representantes de ShinyHunters a medios de comunicación especializados, estos reciben entre un 25% y 30% de los pagos generados por las campañas de extorsión que facilitan.
Mientras tanto, Red Hat continúa notificando a los clientes potencialmente afectados y colaborando con las autoridades.