Tin tức về vụ rò rỉ dữ liệu Red Hat nổ ra vào tuần trước khi một nhóm tin tặc có tên Crimson Collective tuyên bố đã đánh cắp gần 570GB dữ liệu nén trên tổng số 28.000 kho lưu trữ phát triển nội bộ.

Dữ liệu này được cho là bao gồm khoảng 800 Báo cáo tương tác khách hàng (CER), có thể chứa thông tin nhạy cảm về mạng lưới, cơ sở hạ tầng và nền tảng của khách hàng. Những kẻ tấn công tuyên bố đã cố gắng tống tiền Red Hat để đòi tiền chuộc nếu không muốn chúng công khai dữ liệu, nhưng phía công ty không đưa ra bất cứ phản hồi nào.

Red Hat sau đó đã xác nhận với BleepingComputer rằng, vụ rò rỉ ảnh hưởng đến phiên bản GitLab của họ, vốn chỉ được bộ phận Red Hat Consulting sử dụng cho các hợp đồng tư vấn. Ngay sau khi vụ vi phạm bị phát hiện, các tác nhân đe dọa được biết đến là Scattered Lapsus$ Hunters đã tìm cách liên lạc với Crimson Collective.

Mới đây, Crimson Collective thông báo rằng, họ đã hợp tác với Scattered Lapsus$ Hunters để sử dụng dữ liệu từ trang web rò rỉ dữ liệu ShinyHunters mới ra mắt nhằm tiếp tục tìm cách tống tiền  Red Hat. "Vào ngày 04/4/1949, một liên minh lớn mang tên NATO đã được thành lập, nhưng điều gì sẽ xảy ra nếu liên minh mới còn lớn hơn thế? Chắc chắn là nhằm phá vỡ nền tảng công nghệ của các tập đoàn”, nhóm tin tặc này chia sẻ trên kênh Telegram.

"Điều gì sẽ xảy ra nếu nguồn dữ liệu mà nhóm Crimson đánh cắp được còn lớn hơn thế?”. "Về thông báo hiện tại liên quan đến chúng tôi, chúng tôi sẽ hợp tác với ShinyHunter cho các cuộc tấn công và làm rò rỉ dữ liệu trong tương lai”, các tác nhân đe dọa của Crimson Collective nói với BleepingComputer.

Cùng với thông báo này, một bài viết vềRed Hat hiện đã xuất hiện trên một trang web tống tiền rò rỉ dữ liệu mới của ShinyHunters, trong đó cảnh báo công ty rằng, dữ liệu sẽ bị rò rỉ công khai vào ngày 10/10 tới đây nếu không đàm phán được yêu cầu tiền chuộc với ShinyHunters.

Ngoài ra, các tác nhân đe dọa đã công bố các mẫu CER bị đánh cắp, bao gồm các mẫu của hàng loạt các tên tuổi lớn khác như Walmart, HSBC, Bank of Canada, Atos Group, American Express, Bộ Quốc phòng và Société Française du Radiotéléphone.

Các chuyên gia nghiên cứu cuả BleepingComputer đã liên hệ với Red Hat về diễn biến này nhưng không nhận được phản hồi.

ShinyHunters tống tiền dưới dạng dịch vụ

Trong nhiều tháng, các chuyên gia đã suy đoán rằng ShinyHunters đang hoạt động như một dịch vụ tống tiền (EaaS), qua đây chúng hợp tác với các tác nhân đe dọa để tống tiền một công ty nhằm đổi lấy một phần tiền chuộc, tương tự như cách thức hoạt động của các băng nhóm tống tiền dưới dạng dịch vụ khác.

Giả thuyết này dựa trên vô số vụ tấn công do nhiều tác nhân đe dọa thực hiện, tất cả đều được tống tiền dưới tên ShinyHunters, bao gồm cả những vụ nhắm vào Oracle Cloud và PowerSchool.

Các cuộc trò chuyện với ShinyHunters càng củng cố thêm giả thuyết này, vì nhóm này trước đây đã tuyên bố không đứng sau một vụ xâm nhập cụ thể nào mà chỉ đóng vai trò trung gian chuyển giao dữ liệu bị đánh cắp.

Hơn nữa, đã có rất nhiều vụ bắt giữ các cá nhân có liên quan đến cái tên "ShinyHunters" trong những năm qua, bao gồm cả những vụ liên quan đến các vụ tấn công đánh cắp dữ liệu Snowflake, các vụ xâm nhập tại PowerSchool và hoạt động của diễn đàn hack Breached v2.

Ngoài ra, các tác nhân đe dọa đã công bố các mẫu CER bị đánh cắp, bao gồm cả mẫu của Walmart, HSBC, Bank of Canada, Atos Group, American Express, Bộ Quốc phòng và Société Française du Radiotéléphone.

Hà Linh