Die Erpressergruppe Scattered Lapsus$ Hunters behauptet, Red Hat zu erpressen, und hat auf einem neuen ShinyHunters-Leak-Portal erste Dokumentproben veröffentlicht. Laut BleepingComputer drohen die Täter mit der vollständigen Veröffentlichung der Beute am 10. Oktober 2025, sollte das Unternehmen nicht verhandeln. Zuvor hatte das Kollektiv Crimson Collective den Diebstahl von 570 GB aus 28.000 internen Repositories gemeldet. Red Hat bestätigte die Kompromittierung eines eigenen GitLab-Instanz-Systems, nannte jedoch keine Details zum Umfang der Exfiltration.
GitLab-Kompromittierung bei Red Hat: Umfang und aktuelle Lage
Die Täter geben an, neben Quellcode auch Kundenunterlagen erlangt zu haben. Besonders brisant: Unter den geleakten Proben finden sich Customer Engagement Reports (CER), also Beratungsdokumente, die typischerweise Architekturdetails, Konfigurationen, Netzwerk-Topologien, Integrationen sowie vereinzelt sensible Artefakte wie Tokens oder Schlüssel enthalten. Red Hat untersucht den Vorfall, während die Erpresser parallel den Druck erhöhen. BleepingComputer ordnet die Aktion in eine laufende Kampagne ein, bei der Daten vorab als „Beweis“ gestreut werden, um Zahlungen zu erzwingen.
Warum CER-Berichte ein Hochrisiko darstellen
CER-Dokumente sind in Angreiferhand ein Beschleuniger entlang der Kill Chain: Sie verkürzen Reconnaissance, erleichtern Lateral Movement und begünstigen Privilege Escalation. Konkrete Konfigurationshinweise, Service-Accounts oder Fehlkonfigurationen lassen sich für zielgerichtete Phishing-Kampagnen, das Ausnutzen offener Schnittstellen und die Kompromittierung von CI/CD-Pipelines nutzen. Branchenberichte wie der Data Breach Investigations Report (DBIR) von Verizon und IBMs Cost of a Data Breach betonen seit Jahren die zentrale Rolle von Fehlkonfigurationen, gestohlenen Zugangsdaten und mangelnder Segmentierung bei folgenschweren Angriffen.
EaaS: Industrialisierte Erpressung und Rollenverteilung
Scattered Lapsus$ Hunters beschreibt sich als Zusammenschluss von Akteuren aus dem Umfeld von Scattered Spider, LAPSUS$ und ShinyHunters. Dem Bericht zufolge agiert ShinyHunters im Modell Extortion-as-a-Service (EaaS): Die Gruppe stellt Erpressungsinfrastruktur und Verhandlungskanäle bereit, während die eigentlichen Eindringlinge eine Umsatzbeteiligung erhalten. Dieses arbeitsteilige Vorgehen senkt Eintrittsbarrieren, skaliert Kampagnen und erhöht die Wahrscheinlichkeit wiederholter Angriffe auf dieselbe Zielorganisation über unterschiedliche Affiliates. Zuvor wurden ähnliche Aktivitäten im Kontext von Oracle Cloud und PowerSchool beobachtet.
Konkrete Risiken für Kunden und Lieferketten
Sollte der Datenbestand authentische CERs umfassen, drohen Spear-Phishing mit internen Bezügen, die Ausnutzung fehlerhaft konfigurierter Dienste, das Wiederverwenden abgeflossener Tokens/Schlüssel sowie Manipulationen in Build-Pipelines und Artefakten. Die Risiken betreffen nicht nur direkte Red-Hat-Kunden, sondern auch nachgelagerte Partner in der Supply Chain. Historische Vorfälle im Software-Lieferkettenkontext zeigen, dass kompromittierte Entwicklungs- und Bereitstellungsumgebungen hohe Folgekosten und lange Eindämmungszeiten verursachen.
Sofortmaßnahmen und mittelfristige Härtung
Geheimnisse, Identitäten und Repositories
– Secrets rotieren: Alle in CER referenzierten Schlüssel/Tokens/Passwörter unverzüglich inventarisieren und erneuern; wo möglich kurzlebige Tokens sowie IP-/Kontext-Bindung erzwingen.
– SCM-Härtung: In GitLab Secret Detection aktivieren, 2FA/SSO verpflichtend machen, Branch-Protection durchsetzen und signierte Commits (z. B. über Sigstore/Git-Signing) nutzen.
– Netzwerksicherheit: ACLs und Segmentierung schärfen, Service-Accounts strikt nach dem Least-Privilege-Prinzip beschneiden.
– Monitoring & Response: Alarme für anomale Logins, Repo-Änderungen, Massen-Downloads und auffällige API-Aufrufe; Playbooks für schnelle Isolierung und Schlüsselrückruf.
– Daten-Governance: Kundendaten klassifizieren und verschlüsseln, DLP einsetzen und sensible Inhalte in Beratungsdokumenten konsequent minimieren.
Organisationen, die GitLab oder vergleichbare Plattformen betreiben, sollten diese als kritische Infrastruktur behandeln. Branchenreports von Verizon und IBM zeigen konsistent: Früherkennung, starke Authentifizierung und Segmentierung senken die Auswirkungen von Sicherheitsvorfällen signifikant. Wer EaaS-getriebene Erpressung eindämmen will, braucht neben Technik auch belastbare Prozesse für Incident Response und Krisenkommunikation.
Unternehmen sollten jetzt handeln: Secrets rotieren, GitLab-Policies nachschärfen, Telemetrie ausbauen und Beratungsdokumente „need-to-know“ gestalten. Wer Entwicklungswerkzeuge und Artefakte schützt, reduziert die Angriffsfläche über die gesamte Lieferkette – und entzieht EaaS-Betreibern den Hebel für die nächste Erpressungsrunde.
