Crimson Collective
Crimson Collective un gruppo emergente di cyber-estorsori specializzato in intrusioni cloud, che prende di mira principalmente gli ambienti AWS per rubare dati sensibili e mettere sotto pressione le vittime attraverso l'esposizione pubblica e richieste di riscatto.
L'origine del Crimson Collective
Il Crimson Collective è un gruppo emergente che conduce attacchi mirati contro cloud AWS con l'obiettivo di sottrarre dati ed estorcere denaro. Il gruppo ha attirato l'attenzione per la prima volta dopo aver rivendicato la responsabilità di un attacco a Red Hat, durante il quale avrebbe rubato repository GitLab privati. Le loro operazioni riflettono una profonda conoscenza dell'architettura AWS, delle configurazioni IAM e dei servizi cloud, sfruttando questi componenti legittimi per non essere rilevati fino al momento della sottrazione dei dati.
Crimson Collective un nuovo attore motivato dall'estorsione che prende di mira cloud AWS con una forte attenzione al furto di dati tramite crittografia. Il gruppo ha rivendicato pubblicamente la responsabilità della violazione di un'istanza GitLab di Red Hat Consulting e dell'esfiltrazione di una grande quantità di repository interni; Red Hat ha confermato l'accesso non autorizzato a tale GitLab di consulenza, ma non ha convalidato le affermazioni più sensazionali relative al furto. Le segnalazioni open source collegano Crimson Collective alla ricognizione sistematica di AWS e all'esportazione di cloud , in linea con le osservazioni di Rapid7 relative alle recenti intrusioni incentrate su AWS.
Vi sono indicazioni di collaborazione o allineamento con ecosistemi di cyber-estorsione più ampi (ad esempio, ShinyHunters/"Scattered Lapsus$ Hunters), sebbene l'esatta relazione operativa sia fluida e non definita in modo conclusivo.
Paesi presi di mira dal Crimson Collective
L'impatto sembra essere globale, con una copertura e notifiche che interessano organizzazioni statunitensi ed europee (tra cui un avviso di rischio emesso dall'autorità nazionale belga per la sicurezza informatica in relazione all'incidente).
Settori presi di mira dal Crimson Collective
Finora, nei rapporti sono state citate entità con cloud significativa cloud e codice sorgente o artefatti dei clienti di valore: spiccano i fornitori di software e le loro divisioni di consulenza; i media citano anche grandi aziende e CER del settore pubblico come presunte esposizioni, ma tali affermazioni specifiche rimangono non verificate da Red Hat.
Le vittime Crimson Collective
L'istanza privata GitLab di Red Hat Consulting ha subito accessi non autorizzati e copia dei dati. Non verificato ma dichiarato dall'autore: furto massiccio di repository/CER e compromissione a valle dei clienti di consulenza.
Fasi e attività dell'attacco
Gli attori raccolgono e convalidano le chiavi di accesso AWS a lungo termine trapelate utilizzando TruffleHog (visibile tramite il GetCallerIdentity chiamata e user-agent "TruffleHog" in CloudTrail). Quindi creano utenti IAM (Crea utente, CreaProfiloAccesso, CreaChiaveAccesso) per la perseveranza. Dove la creazione fallisce, essi sondano i diritti con Simula politica principale.
Si attaccano Accesso amministratore ai nuovi utenti (AttachUserPolicy) e inventariare in modo esaustivo l'ambiente: IAM, EC2/EBS/S3, VPC/Route53/ELB, RDS, CloudWatch/Costs, quote SES/SNS e inventari delle applicazioni (un lungo elenco di Descrivi*, Elenco*, e Ottieni* chiamate tra servizi).
Avviano istanze EC2 permissive (EseguiIstanze, Crea gruppo di sicurezza) e allegare volumi (AttaccaVolume) per montare i dati copiati per l'elaborazione o il trasferimento successivo.
Hanno reimpostato le password master RDS (Modifica istanza database), acquisire istantanee RDS (CreaDBSnapshot) ed esportarli su S3 (AvviaEsportaAttività). Creano snapshot EBS (Crea istantanea) come staging dei dati.
L'esfiltrazione avviene tramite l'accesso agli oggetti S3 (GetObject) e potenzialmente da istanze EC2 controllate dall'autore dell'attacco.
L'impatto è estorsivo: le vittime ricevono e-mail (anche tramite il proprio SES) che descrivono in dettaglio i dati rubati e richiedono un pagamento; la pressione pubblica viene amplificata dai media e dai post sui siti di divulgazione di informazioni riservate da parte di gruppi alleati.
Gli attori raccolgono e convalidano le chiavi di accesso AWS a lungo termine trapelate utilizzando TruffleHog (visibile tramite il GetCallerIdentity chiamata e user-agent "TruffleHog" in CloudTrail). Quindi creano utenti IAM (Crea utente, CreaProfiloAccesso, CreaChiaveAccesso) per la perseveranza. Dove la creazione fallisce, essi sondano i diritti con Simula politica principale.
Si attaccano Accesso amministratore ai nuovi utenti (AttachUserPolicy) e inventariare in modo esaustivo l'ambiente: IAM, EC2/EBS/S3, VPC/Route53/ELB, RDS, CloudWatch/Costs, quote SES/SNS e inventari delle applicazioni (un lungo elenco di Descrivi*, Elenco*, e Ottieni* chiamate tra servizi).
Avviano istanze EC2 permissive (EseguiIstanze, Crea gruppo di sicurezza) e allegare volumi (AttaccaVolume) per montare i dati copiati per l'elaborazione o il trasferimento successivo.
Hanno reimpostato le password master RDS (Modifica istanza database), acquisire istantanee RDS (CreaDBSnapshot) ed esportarli su S3 (AvviaEsportaAttività). Creano snapshot EBS (Crea istantanea) come staging dei dati.
L'esfiltrazione avviene tramite l'accesso agli oggetti S3 (GetObject) e potenzialmente da istanze EC2 controllate dall'autore dell'attacco.
L'impatto è estorsivo: le vittime ricevono e-mail (anche tramite il proprio SES) che descrivono in dettaglio i dati rubati e richiedono un pagamento; la pressione pubblica viene amplificata dai media e dai post sui siti di divulgazione di informazioni riservate da parte di gruppi alleati.
TTP Crimson Collective
Come rilevare Crimson Collective Vectra AI
Domande frequenti
Il Crimson Collective è Crimson Collective gruppo di ransomware?
Crimson Collective un gruppo di estorsori che non utilizza ransomware per crittografare i dati. La loro strategia principale è il furto di dati + estorsione ("doppia estorsione" senza blocco).
Qual è la loro prima mossa all'interno di AWS?
Convalidano le chiavi a lungo termine trapelate con TruffleHog; CloudTrail mostra GetCallerIdentity con un user-agent TruffleHog, seguito da tentativi di creare utenti IAM e chiavi di accesso.
Come aumentano i privilegi?
Collegando AWS gestito Accesso amministratore agli utenti appena creati (AttachUserPolicy). Se bloccati, verificano i permessi effettivi con Simula politica principale.
Quali dati apprezzano di più?
Database live (RDS), contenuti dei volumi EBS, bucket S3 e artefatti di coinvolgimento simili al codice sorgente/CER che rivelano dettagli sull'ambiente e token di accesso. (Red Hat conferma l'accesso al GitLab di consulenza; l'ambito dell'esposizione CER rimane quello dichiarato dall'autore dell'attacco).
Come vengono organizzati ed estratti i dati?
RDS → CreaDBSnapshot + AvviaEsportaAttività a S3; EBS → Crea istantanea quindi collegare all'EC2 controllato dall'aggressore; S3 → GetObject per acquisti diretti.
Hanno un impatto sulle e-mail/SMS?
Essi enumerano le quote SES/SNS e potrebbero utilizzarle in modo improprio per estorsioni o invio di spam dall'ambiente della vittima.
Quali misure di contenimento immediato dovremmo applicare in caso di sospetto?
Revoca tutte le chiavi AWS a lungo termine; disabilita/ruota i principali compromessi; blocca gli IOC che hai condiviso; metti in quarantena gli utenti IAM e le chiavi di accesso creati dall'autore dell'attacco; interrompi le operazioni in corso. AvviaEsportaAttività; bloccare le politiche relative ai bucket S3; eseguire analisi forensi degli snapshot, quindi ruotare le credenziali master del database. (Best practice generali in linea con le segnalazioni degli incidenti.)
Come proteggersi dai tentativi ripetuti?
Eliminare le chiavi utente a lungo termine a favore di credenziali di ruolo a breve durata; applicare il principio del privilegio minimo; limitare l'accesso alla console/API in base all'IP di origine/agli endpoint VPC; abilitare GuardDuty, le query CloudTrail Lake e gli avvisi di anomalie relative al budget/CUR; eseguire la scansione dei repository e degli archivi oggetti alla ricerca di segreti (TruffleHog/GGShield et al.) e controllare con pre-commit/CI.
Sono collegati a "Scattered Lapsus$ Hunters?
I rapporti suggeriscono un coordinamento/associazione (ad esempio, amplificazione delle estorsioni e fughe di notizie), ma la profondità operativa non è stata stabilita con certezza; trattare come adiacenza dell'ecosistema piuttosto che come comando e controllo comprovato.
Crimson Collective è Crimson Collective a The Com?
Dato che Crimson Collective a Scattered Lapsus$ Hunters, possiamo affermare che potrebbero far parte della loro comunità più ampia chiamata The Com.