Crimson Collective
Crimson Collective un gruppo emergente di cyber-estorsione specializzato in intrusioni cloud, che prende di mira principalmente gli ambienti AWS per sottrarre dati sensibili e mettere sotto pressione le vittime minacciando di renderli pubblici e chiedendo un riscatto.
L'origine del Crimson Collective
Il Crimson Collective è un gruppo di hacker emergente che conduce attacchi mirati contro cloud AWS con l'obiettivo di sottrarre dati e praticare estorsioni. Il gruppo ha attirato l'attenzione per la prima volta dopo aver rivendicato la responsabilità di un attacco a Red Hat, durante il quale avrebbe sottratto repository GitLab privati. Le loro operazioni riflettono una profonda conoscenza dell'architettura AWS, delle configurazioni IAM e dei servizi cloud: sfruttano questi componenti legittimi per non essere individuati fino al momento della sottrazione dei dati.
Crimson Collective un gruppo di hacker emerso di recente, dedito all'estorsione, che prende di mira cloud di AWS, privilegiando il furto di dati rispetto alla crittografia. Il gruppo ha rivendicato pubblicamente la responsabilità della violazione di un'istanza GitLab di Red Hat Consulting e dell'esfiltrazione di una grande quantità di repository interni; Red Hat ha confermato l'accesso non autorizzato a quel GitLab di consulenza, ma non ha confermato le affermazioni più sensazionali relative al furto. I rapporti open-source collegano Crimson Collective alla ricognizione sistematica di AWS e all'esportazione di cloud , in linea con le osservazioni di Rapid7 sulle recenti intrusioni incentrate su AWS.
Vi sono indicazioni di una collaborazione o di un allineamento con ecosistemi più ampi di cyber-estorsione (ad esempio,Scattered Lapsus$ Hunters), sebbene l'esatta natura del rapporto operativo sia mutevole e non sia stata definita in modo definitivo.
Paesi presi di mira dal Crimson Collective
L'impatto sembra essere di portata globale, con segnalazioni e notifiche che coinvolgono organizzazioni statunitensi ed europee (tra cui un avviso sui rischi emesso dall'autorità nazionale belga per la sicurezza informatica in relazione all'incidente).
Settori di riferimento di Crimson Collective
Finora, nei resoconti sono state citate espressamente entità con cloud significativa cloud e in possesso di codice sorgente o risorse relative ai clienti di grande valore: spiccano in particolare i fornitori di software e le loro divisioni di consulenza; i media menzionano inoltre i CER (Centri di Eccellenza) di grandi aziende e del settore pubblico come presunte fonti di esposizione, ma tali affermazioni specifiche non sono state verificate da Red Hat.
Le vittime Crimson Collective
L'istanza privata di GitLab di Red Hat Consulting è stata oggetto di un accesso non autorizzato e di una copia dei dati. Sebbene non sia stato verificato, l'autore dell'attacco sostiene di aver effettuato un furto massiccio di repository e CER, con conseguenti compromissioni dei clienti della società di consulenza.
Fasi e attività dell'attacco
Gli autori raccolgono e verificano le chiavi di accesso AWS a lungo termine trapelate utilizzando TruffleHog (visibile tramite il Identità del chiamante chiamata e user-agent "TruffleHog" in CloudTrail). Successivamente creano utenti IAM (CreaUtente, Crea profilo di accesso, Crea chiave di accesso) per garantire la persistenza. Quando la creazione non va a buon fine, verificano i diritti di accesso con Simula la politica principale.
Si attaccano Accesso amministratore ai nuovi utenti (Criteri di associazione utente) e fare un inventario dettagliato dell'ambiente: IAM, EC2/EBS/S3, VPC/Route53/ELB, RDS, CloudWatch/Costi, quote SES/SNS e inventari delle applicazioni (un lungo elenco di Descrivi*, Elenco*, e Ottieni* (chiamate tra servizi).
Avviano istanze EC2 con impostazioni permissive (Esegui istanze, Crea gruppo di sicurezza) e collegare i volumi (Allega volume) per caricare i dati copiati ai fini dell'elaborazione o del successivo trasferimento.
Hanno reimpostato le password master RDS (Modifica istanza database), creare snapshot RDS (Crea istantanea del database) ed esportarli su S3 (Avvia attività di esportazione). Creano snapshot EBS (Crea istantanea) come fase di preparazione dei dati.
L'esfiltrazione avviene tramite l'accesso agli oggetti S3 (GetObject) e potenzialmente da istanze EC2 controllate dall'autore dell'attacco.
L'impatto è devastante: le vittime ricevono e-mail (anche tramite il proprio sistema di messaggistica aziendale) in cui vengono descritti nei dettagli i dati rubati e viene richiesto il pagamento; la pressione pubblica viene amplificata dai media e dai post pubblicati su siti di divulgazione di informazioni riservate da parte di gruppi alleati.
Gli autori raccolgono e verificano le chiavi di accesso AWS a lungo termine trapelate utilizzando TruffleHog (visibile tramite il Identità del chiamante chiamata e user-agent "TruffleHog" in CloudTrail). Successivamente creano utenti IAM (CreaUtente, Crea profilo di accesso, Crea chiave di accesso) per garantire la persistenza. Quando la creazione non va a buon fine, verificano i diritti di accesso con Simula la politica principale.
Si attaccano Accesso amministratore ai nuovi utenti (Criteri di associazione utente) e fare un inventario dettagliato dell'ambiente: IAM, EC2/EBS/S3, VPC/Route53/ELB, RDS, CloudWatch/Costi, quote SES/SNS e inventari delle applicazioni (un lungo elenco di Descrivi*, Elenco*, e Ottieni* (chiamate tra servizi).
Avviano istanze EC2 con impostazioni permissive (Esegui istanze, Crea gruppo di sicurezza) e collegare i volumi (Allega volume) per caricare i dati copiati ai fini dell'elaborazione o del successivo trasferimento.
Hanno reimpostato le password master RDS (Modifica istanza database), creare snapshot RDS (Crea istantanea del database) ed esportarli su S3 (Avvia attività di esportazione). Creano snapshot EBS (Crea istantanea) come fase di preparazione dei dati.
L'esfiltrazione avviene tramite l'accesso agli oggetti S3 (GetObject) e potenzialmente da istanze EC2 controllate dall'autore dell'attacco.
L'impatto è devastante: le vittime ricevono e-mail (anche tramite il proprio sistema di messaggistica aziendale) in cui vengono descritti nei dettagli i dati rubati e viene richiesto il pagamento; la pressione pubblica viene amplificata dai media e dai post pubblicati su siti di divulgazione di informazioni riservate da parte di gruppi alleati.
Le tattiche, procedure e prassi operative (TTP) Crimson Collective
Come individuare Crimson Collective Vectra AI
Domande frequenti
Il Crimson Collective è Crimson Collective gruppo di ransomware?
Crimson Collective un gruppo di estorsione che non utilizza ransomware per crittografare i dati. La loro strategia principale consiste nel furto di dati e nell'estorsione (una "doppia estorsione" senza blocco dei dati).
Qual è la loro prima mossa all'interno di AWS?
Convalidano le chiavi a lungo termine trapelate con TruffleHog; CloudTrail mostra Identità del chiamante utilizzando un user-agent TruffleHog, seguito da tentativi di creare utenti IAM e chiavi di accesso.
In che modo ottengono privilegi più elevati?
Collegando AWS Managed Accesso amministratore agli utenti appena registrati (Criteri di associazione utente). Se l'accesso viene bloccato, verificano i permessi effettivi con Simula la politica principale.
Quali dati considerano più importanti?
Database attivi (RDS), contenuti dei volumi EBS, bucket S3 e codice sorgente / artefatti relativi a progetti simili al CER che rivelano dettagli sull'ambiente e token di accesso. (Red Hat conferma l'accesso al GitLab della società di consulenza; l'entità dell'esposizione del CER rimane quella dichiarata dall'autore dell'attacco.)
In che modo i dati vengono preparati e sottratti?
RDS → Crea istantanea del database + Avvia attività di esportazione su S3; EBS → Crea istantanea quindi collegarlo all'EC2 controllato dall'autore dell'attacco; S3 → GetObject per il download diretto.
Hanno un impatto sulle e-mail e sugli SMS?
Elencano le quote SES/SNS e potrebbero utilizzarle in modo improprio per effettuare estorsioni o inviare spam dall'ambiente della vittima.
Quali misure di contenimento immediate dovremmo adottare in caso di sospetto?
Revoca tutte le chiavi AWS a lungo termine; disattiva/aggiorna gli account compromessi; blocca gli indicatori di compromissione (IOC) che hai segnalato; metti in quarantena gli utenti IAM e le chiavi di accesso creati dall'autore dell'attacco; interrompi le operazioni in corso Avvia attività di esportazione; rafforzare le politiche dei bucket S3; analisi forense degli snapshot, quindi ruotare le credenziali di amministratore del database. (Best practice generali in linea con i resoconti degli incidenti.)
Come proteggersi dai tentativi ripetuti?
Eliminare le chiavi utente a lungo termine a favore di credenziali di ruolo a breve durata; applicare il principio del privilegio minimo; limitare l'accesso alla console e alle API in base all'IP di origine e agli endpoint VPC; abilitare GuardDuty, le query su CloudTrail Lake e gli avvisi di anomalie relativi a budget e CUR; eseguire la scansione dei repository e degli archivi di oggetti alla ricerca di segreti (TruffleHog/GGShield ecc.) e applicare controlli di accesso tramite pre-commit/CI.
Sono collegati aScattered Lapsus$ Hunters?
I rapporti suggeriscono l'esistenza di un coordinamento o di un legame (ad esempio, amplificazione delle estorsioni e fughe di notizie), ma la portata operativa non è stata ancora accertata con certezza; considerare la situazione come una vicinanza all'ecosistema piuttosto che come un sistema di comando e controllo comprovato.
Crimson Collective è Crimson Collective a The Com?
Dato che Crimson Collective agli Scattered Lapsus$ Hunters, si può ipotizzare che facciano parte della loro comunità più ampia, denominata The Com.