Crimson Collective
Crimson Collective è un gruppo emergente di estorsione informatica specializzato in intrusioni cloud, che prende di mira principalmente gli ambienti AWS per rubare dati sensibili e fare pressione sulle vittime attraverso l'esposizione pubblica e la richiesta di riscatto.

L'origine del Crimson Collective
Il Crimson Collective è un gruppo di minacce emergenti che conduce attacchi mirati contro ambienti cloud AWS con l'obiettivo di esfiltrare dati ed estorcere denaro. Il gruppo si è fatto notare per la prima volta dopo aver rivendicato la responsabilità di un attacco a Red Hat, dove avrebbe sottratto repository GitLab privati. Le loro operazioni riflettono una profonda conoscenza dell'architettura AWS, delle configurazioni IAM e dei servizi cloud, sfruttando questi componenti legittimi per rimanere inosservati fino al momento dell'esfiltrazione.
Crimson Collective è un attore recentemente emerso a scopo di estorsione che prende di mira le proprietà del cloud AWS, con un forte focus sul furto di dati rispetto alla crittografia. Il gruppo ha pubblicamente rivendicato la responsabilità di aver violato un'istanza GitLab di Red Hat Consulting e di aver esfiltrato un'ampia serie di repository interni; Red Hat ha confermato l'accesso non autorizzato a quel GitLab di consulenza, ma non ha convalidato le affermazioni di furto più clamorose. Le segnalazioni open-source collegano l'attività di Crimson Collective alla ricognizione sistematica di AWS e all'esportazione di dati cloud , coerentemente con le osservazioni di Rapid7 sulle recenti intrusioni focalizzate su AWS.
Ci sono indicazioni di collaborazione o allineamento con ecosistemi più ampi di cyber-estorsione (ad esempio, ShinyHunters/"Scattered Lapsus$ Hunters"), anche se l'esatta relazione operativa è fluida e non definita in modo definitivo.
Paesi destinatari del Crimson Collective
L'impatto sembra essere globale, con copertura e notifiche che riguardano organizzazioni statunitensi ed europee (compreso un avviso di rischio da parte dell'autorità nazionale belga per la sicurezza informatica legato all'incidente).
Industrie a cui si rivolge il Crimson Collective
Finora, i nomi delle entità con una notevole impronta cloud e con codice sorgente o artefatti dei clienti di valore sono stati citati nei rapporti: i fornitori di software e i loro bracci di consulenza sono in primo piano; le menzioni dei media fanno anche riferimento a CER di grandi imprese e del settore pubblico come presunta esposizione, ma queste affermazioni specifiche non sono state verificate da Red Hat.
Vittime del Crimson Collective
L'istanza GitLab privata di Red Hat Consulting ha subito un accesso non autorizzato e una copia di dati. Non verificato ma rivendicato dall'attore: furto massiccio di repository/CER e compromissione a valle dei clienti della consulenza.
Fasi e attività di attacco

Gli attori raccolgono e convalidano le chiavi di accesso AWS a lungo termine trapelate utilizzando TruffleHog (visibile tramite il file GetCallerIdentity
e l'user-agent "TruffleHog" in CloudTrail). Quindi creano utenti IAM (CreaUtente
, CreaProfiloLogin
, CreaChiave d'accesso
) per la persistenza. Se la creazione fallisce, si sondano gli entitlement con SimulaPrincipalePolitica
.

Allegano AmministratoreAccesso
ai nuovi utenti (AttachUserPolicy
) e inventariare estensivamente l'ambiente: IAM, EC2/EBS/S3, VPC/Route53/ELB, RDS, CloudWatch/Costs, quote SES/SNS e inventari delle applicazioni (un lungo elenco di Descrivere*
, Elenco*
, e Ottenere*
chiamate tra i servizi).




Creano istanze EC2 permissive (Esecuzione di istanze
, CreaGruppoDiSicurezza
) e allegare volumi (AllegaVolume
) per montare i dati copiati per l'elaborazione o il successivo trasferimento.

Resettano le password master RDS (Modificare l'istanzaDB
), eseguire istantanee RDS (CreaDBSnapshot
) ed esportarli in S3 (Avvia attività di esportazione
). Creano istantanee EBS (CreaImmagine
) come staging dei dati.


L'infiltrazione avviene tramite l'accesso agli oggetti S3 (Oggetto
) e potenzialmente da istanze EC2 controllate da un attaccante.

L'impatto è estorsivo: le vittime ricevono e-mail (anche attraverso il proprio SES) che descrivono dettagliatamente i dati rubati e richiedono il pagamento; la pressione pubblica viene amplificata attraverso i media e i post sui siti di fuga di notizie da parte di gruppi alleati.

Gli attori raccolgono e convalidano le chiavi di accesso AWS a lungo termine trapelate utilizzando TruffleHog (visibile tramite il file GetCallerIdentity
e l'user-agent "TruffleHog" in CloudTrail). Quindi creano utenti IAM (CreaUtente
, CreaProfiloLogin
, CreaChiave d'accesso
) per la persistenza. Se la creazione fallisce, si sondano gli entitlement con SimulaPrincipalePolitica
.

Allegano AmministratoreAccesso
ai nuovi utenti (AttachUserPolicy
) e inventariare estensivamente l'ambiente: IAM, EC2/EBS/S3, VPC/Route53/ELB, RDS, CloudWatch/Costs, quote SES/SNS e inventari delle applicazioni (un lungo elenco di Descrivere*
, Elenco*
, e Ottenere*
chiamate tra i servizi).




Creano istanze EC2 permissive (Esecuzione di istanze
, CreaGruppoDiSicurezza
) e allegare volumi (AllegaVolume
) per montare i dati copiati per l'elaborazione o il successivo trasferimento.

Resettano le password master RDS (Modificare l'istanzaDB
), eseguire istantanee RDS (CreaDBSnapshot
) ed esportarli in S3 (Avvia attività di esportazione
). Creano istantanee EBS (CreaImmagine
) come staging dei dati.


L'infiltrazione avviene tramite l'accesso agli oggetti S3 (Oggetto
) e potenzialmente da istanze EC2 controllate da un attaccante.

L'impatto è estorsivo: le vittime ricevono e-mail (anche attraverso il proprio SES) che descrivono dettagliatamente i dati rubati e richiedono il pagamento; la pressione pubblica viene amplificata attraverso i media e i post sui siti di fuga di notizie da parte di gruppi alleati.
I TTP del Crimson Collective
Come rilevare il Crimson Collective con Vectra AI
DOMANDE FREQUENTI
Il Crimson Collective è un gruppo di ransomware?
Crimson Collective è un gruppo di estorsione, non utilizza ransomware per criptare i dati. Il loro gioco principale è il furto di dati + estorsione ("doppia estorsione" senza armadietto).
Qual è la loro prima mossa all'interno di AWS?
Convalidano le chiavi a lungo termine trapelate con TruffleHog; CloudTrail mostra GetCallerIdentity
con un user-agent TruffleHog, seguito da tentativi di creare utenti IAM e chiavi di accesso.
Come fanno ad aumentare i privilegi?
Collegando il sistema AWS gestito AmministratoreAccesso agli utenti appena creati (AttachUserPolicy
). Se bloccati, sondano i permessi effettivi con SimulaPrincipalePolitica
.
Quali dati apprezzano di più?
Database live (RDS), contenuti dei volumi EBS, bucket S3 e codice sorgente / artefatti di impegno simili a CER che rivelano i dettagli dell'ambiente e i token di accesso (Red Hat conferma l'accesso al GitLab di consulenza; la portata dell'esposizione di CER rimane dichiarata dagli attori).
Come vengono gestiti i dati e come vengono esfiltrati?
RDS → CreaDBSnapshot
+ Avvia attività di esportazione
a S3; EBS → CreaImmagine
poi si collega a EC2 controllato dall'attaccante; S3 → Oggetto
per la presa diretta.
Hanno un impatto sulle e-mail e sugli SMS?
Essi enumerano le quote SES/SNS e potrebbero usarle impropriamente per la consegna di estorsioni o di spam dall'ambiente vittima.
Quale contenimento immediato dobbiamo applicare in caso di sospetto?
Revocare tutte le chiavi AWS a lungo termine; disabilitare/ruotare i principals compromessi; bloccare gli IOC condivisi; mettere in quarantena gli utenti IAM e le chiavi di accesso creati dall'attaccante; interrompere il volo. Avvia attività di esportazione
bloccare i criteri del bucket S3; eseguire snapshot forensi, quindi ruotare le credenziali del master del database. (Best practice generale allineata con i documenti degli incidenti).
Come resistere ai tentativi di ripetizione?
Eliminare le chiavi utente a lungo termine in favore di credenziali di ruolo a breve durata; applicare il minimo privilegio; limitare l'accesso a console/API in base all'IP di origine o agli endpoint VPC; abilitare GuardDuty, le query lacustri di CloudTrail e gli avvisi di anomalie di budget/CUR; scansionare i repo e gli object store per i segreti (TruffleHog/GGShield ecc.) e chiudere con pre-commit/CI.
Sono collegati a "HuntersScattered Lapsus$ "?
Le segnalazioni suggeriscono un coordinamento/associazione (ad esempio, amplificazione delle estorsioni e fughe di notizie), ma la profondità operativa non è stabilita con certezza; trattare come adiacenza all'ecosistema piuttosto che come comando e controllo comprovato.
Il Crimson Collective è collegato a The Com?
Dal momento che il Crimson Collective si associa agli Scattered Lapsus$ Hunters, possiamo sostenere che potrebbero far parte della loro comunità più ampia chiamata The Com.