Un gruppo di estorsori che si fa chiamare Crimson Collective sostiene di aver rubato quasi 570 GB di dati compressi dall'istanza GitLab autogestita di Red Hat. Tra i file c'erano circa 800 Customer Engagement Reports (CER), documenti che spesso contengono dettagli sensibili dell'infrastruttura, token di autenticazione e dati di configurazione degli ambienti dei clienti.
Questo tipo di dati fornisce agli aggressori un modello già pronto per entrare nelle reti dei clienti a valle, amplificando l'impatto ben oltre la violazione iniziale. L'impatto potenziale è trasversale a tutti i settori: il gruppo ha pubblicato un elenco che comprendeva organizzazioni famose nel campo della finanza, della sanità, della vendita al dettaglio, della pubblica amministrazione e della difesa.
La violazione di Red Hat GitLab spiegata: Cosa è successo
RedHat ha confermato che una parte non autorizzata ha avuto accesso e copiato dati dalla sua istanza GitLab autogestita. L'azienda ha sottolineato che la violazione è stata limitata alla sua divisione di consulenza e non ha interessato il suo più ampio ecosistema di prodotti o la catena di fornitura del software.
Gli aggressori, tuttavia, sostengono di aver trovato token di autenticazione, URI di database e dettagli privati all'interno del codice e dei CER e di averli sfruttati per raggiungere gli ambienti dei clienti. Mentre Red Hat ha contenuto l'incidente e sta informando i clienti interessati, il gruppo ha già reso pubblici gli elenchi dei repository e dei CER risalenti al 2020.
Chi è il Crimson Collective (e come si lega ai Hunters LAPSUS$ sparsi)
Il Crimson Collective è un gruppo di estorsione informatica emerso di recente, che ha fatto la sua comparsa alla fine di settembre del 2025. Le loro tattiche combinano trovate pubblicitarie e gravi violazioni, utilizzando un canale Telegram per trasmettere i dati rubati e fare pressione sulle vittime. Prima di prendere di mira Red Hat, il gruppo ha deturpato una pagina web di Nintendo per attirare l'attenzione sulla propria presenza. Poco dopo, hanno rivendicato la responsabilità della violazione di Claro Colombia, sostenendo il furto di milioni di dati dei clienti.
A differenza degli attori degli Stati nazionali, il Crimson Collective dichiara apertamente di avere come obiettivo il guadagno finanziario.
Aggiornamento 05/10/25: Il Crimson Collective sembra ora collaborare con Scattered LAPSUS$ Hunters. I materiali trapelati mostrano che alcuni dei dati rubati da Crimson su Red Hat sono stati effettivamente pubblicati sul sito web di Scattered LAPSUS$ Hunters e la messaggistica pubblica suggerisce una cooperazione tra le due entità. Sebbene Scattered LAPSUS$ Hunters abbia annunciato con una lettera d'addio che avrebbe "chiuso i battenti" all'inizio del mese scorso, i ricercatori di sicurezza sono rimasti scettici.
Il Crimson Collective potrebbe non essere un'entità completamente nuova (forse il nuovo nome di The Com?).
Perché il Crimson Collective ha preso di mira Red Hat
Gli archivi di consulenza spesso contengono configurazioni specifiche per i clienti, dettagli di implementazione e token di accesso privilegiati. Per gli aggressori, questo non è solo un furto di dati: è un punto di ingresso in più organizzazioni contemporaneamente.
Esempi di ciò che i depositi e i documenti di consultazione possono esporre:
- Segreti e token di autenticazione codificati in modo rigido
- Infrastructure-as-code che rivela la topologia della rete
- Account di servizio con autorizzazioni privilegiate
- Specifiche di progetto che descrivono in dettaglio gli ambienti del cliente
Ciò rende gli artefatti della consulenza un obiettivo di grande valore. Una violazione riuscita può avere un impatto su centinaia di organizzazioni che si sono fidate del fornitore di consulenza.
Come la violazione di Red Hat Consulting impatta sui clienti
Per i clienti citati in queste CER, i rischi sono molto concreti. I token di autenticazione rubati o i dettagli di configurazione esposti possono aprire la porta agli aggressori per:
- Compromissione delle identità e accesso non autorizzato al sistema
- Spostare lateralmente l'infrastruttura critica
- Rubare dati, interrompere i servizi o lanciare campagne di estorsione
La sfida è la visibilità (e anche il Crimson Collective è d'accordo su questo!). Gli strumenti tradizionali sono costruiti per bloccare le minacce note nel perimetro. Ma con le credenziali rubate, gli aggressori sembrano insider. Quando la loro attività viene segnalata, il danno potrebbe essere già fatto.
Se siete clienti di Vectra AI , ecco cosa dovete tenere d'occhio nel vostro ambiente:
- Uso insolito dei token di autenticazione o degli account di servizio, soprattutto al di fuori degli orari o delle aree geografiche previste.
- Segni di attività di ricognizione contro Active Directory, ambiente cloud o rete interna.
- Modelli di movimento laterale anomali, in particolare da conti legati a progetti di consulenza o ad accessi amministrativi.
- Indicatori di staging o esfiltrazione dei dati, come trasferimenti di grandi dimensioni o eventi di compressione da host atipici.
I clienti di Vectra AI beneficiano di rilevamenti in tempo reale guidati dall'intelligenza artificiale che rendono visibili questi comportamenti, anche quando gli aggressori sembrano legittimi.
Come Vectra AI vede ciò che gli altri strumenti non vedono
La maggior parte degli strumenti di sicurezza blocca le minacce note o i file dannosi. Questo approccio fallisce quando gli aggressori sono armati di credenziali valide o di artefatti di consulenza rubati. In questi casi, entrano con un accesso fidato e le difese tradizionali faticano a distinguere l'aggressore dal dipendente.
La PiattaformaVectra AI adotta un approccio diverso. Rileva i comportamenti che gli aggressori non possono nascondere, come la ricognizione, l'abuso di credenziali, il movimento laterale, l'escalation dei privilegi e l'esfiltrazione. Analizzando continuamente l'identità e il traffico di rete, Vectra AI fa emergere i segnali sottili ma coerenti di compromissione che altri strumenti trascurano.
Per i team che si occupano di sicurezza, questo offre:
- Meno punti oscuri: Visibilità completa su identità, cloud, SaaS e reti on-premise, senza bisogno di agenti.
- Chiarezza più rapida: Rilevamento guidato dall'intelligenza artificiale che elimina i falsi positivi e la stanchezza da allarme.
- Informazioni utili: Un contesto chiaro su ciò che sta accadendo, dove e come rispondere.
Con Vectra AI, gli aggressori possono rubare documenti e token, ma non possono operare inosservati nel vostro ambiente.
Scoprite come Vectra AI completa il vostro stack tecnologico esistente esplorando la nostra demo autoguidata, oppure contattateci subito se ritenete che la vostra organizzazione possa essere a rischio.