L’affaire Red Hat vient de prendre une tournure plus inquiétante. Après avoir revendiqué le vol massif de données techniques chez l’éditeur open source, le groupe Crimson Collective s’est allié aux Scattered Lapsus$ Hunters pour faire plier l’éditeur.
Selon les informations rapportées par BleepingComputer, le groupe Crimson Collective, déjà responsable du piratage d’un serveur GitLab de Red Hat Consulting, vient d’annoncer une alliance avec les Scattered Lapsus$ Hunters. Ce méga-collectif de hackers, qui avait récemment annoncé tirer sa révérence, joue finalement les prolongations – surprise, non – pour mener une campagne d’extorsion plus structurée. Les assaillants utilisent désormais la plateforme de fuite de données ShinyHunters pour menacer de publier l’intégralité des informations volées si aucun accord n’est trouvé d’ici le 10 octobre.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
La rencontre de deux collectifs de hackers qui rebat les cartes
Pour rappel, la semaine dernière, Crimson Collective avait revendiqué le vol de près de 570 Go de données issues d’environ 28 000 dépôts GitLab internes, dont plusieurs centaines de Customer Engagement Reports (CER). Ces documents, produits lors de missions de conseil, peuvent contenir des informations techniques extrêmement sensibles sur les environnements et l’architecture informatique des clients, au point que leur divulgation pourrait offrir à des attaquants un plan détaillé pour cibler des systèmes critiques. Red Hat avait alors confirmé l’intrusion, isolé l’instance compromise et assuré que ses produits ainsi que sa chaîne d’approvisionnement logicielle n’étaient pas affectés.
De son côté, Crimson Collective avait quand même tenté, sans succès, d’extorquer l’éditeur open source. Manifestement las de ses échecs, le groupe a fini par enclencher la seconde, et la situation vient officiellement de basculer dans une phase plus agressive. Sur leur groupe Telegram, les pirates ont en effet annoncé s’allier aux Scattered Lapsus$ Hunters et s’appuyer sur l’infrastructure d’extorsion de ShinyHunters, qui héberge les premières fuites et menace de publier l’intégralité des données volées si Red Hat refuse de négocier avant le 10 octobre.
D’après Bleeping Computer, des échantillons de CER ont déjà été mis en ligne, dont des informations sur des clients majeurs tels que Walmart, HSBC, Bank of Canada, Atos Group, American Express, le Department of Defence ou encore SFR. Contacté par BleepingComputer, Red Hat n’a pas encore commenté cette nouvelle étape.
D’un chantage raté à l’opération d’extorsion structurée
Evidemment, l’arrivée des Scattered Lapsus$ Hunters change tout à la nature de l’affaire. Ce qui n’était au départ qu’une tentative d’extorsion opportuniste s’est définitivement mu en campagne organisée, portée par une infrastructure taillée pour diffuser des données volées et maintenir la pression sur la victime. En changeant d’échelle, Crimson Collective s’est ainsi assuré que l’opération gagne en visibilité et en capacité de nuisance, alors qu’elle s’apparentait jusqu’ici à une tentative de chantage un peu maladroite.
Pour les organisations clientes de Red Hat Consulting, l’urgence consiste donc à évaluer l’impact potentiel de la fuite et à prendre les mesures immédiates nécessaires. Les clés d’accès, tokens et identifiants techniques qui pourraient se trouver dans les CER doivent être révoqués sans délai, tandis que les accès internes et les configurations décrits dans ces documents doivent être passés au peigne fin et ajustés pour empêcher que ces informations sensibles puissent servir de tremplin à une intrusion ciblée.
On en profitera aussi pour rappeler que les instances GitLab autogérées requièrent une attention toute particulière et exigent une maintenance irréprochable. Les entreprises qui hébergent leur propre serveur doivent appliquer sans délai les mises à jour de sécurité, contrôler strictement les droits d’accès et surveiller de près les dépôts sensibles. Un suivi attentif des journaux d’activité et un renforcement des règles réseau peuvent aider à détecter plus tôt une compromission.
Source : BleepingComputer
