Киберпреступная экосистема вокруг вымогательства продолжает консолидироваться. Группировка Scattered Lapsus$ Hunters заявила о шантаже Red Hat и опубликовала образцы похищенных документов. По данным BleepingComputer, злоумышленники требуют выкуп и угрожают полной публикацией архива, если компания не пойдет на переговоры.
Что произошло: компрометация GitLab и данные клиентов
На прошлой неделе группа Crimson Collective сообщила о краже 570 ГБ данных из 28 000 внутренних репозиториев Red Hat, заявив о доступе к клиентской документации. Red Hat подтвердила факт взлома одного из собственных инстансов GitLab, не раскрывая при этом масштабы эксфильтрации.
Фокус на CER: почему эти отчеты опасны в руках злоумышленников
Среди опубликованных образцов фигурируют CER (Customer Engagement Reports) — консалтинговые отчеты, подготавливаемые для заказчиков. Обычно они содержат сведения об архитектуре, конфигурациях, сетевой топологии, интеграциях и, в отдельных случаях, чувствительные артефакты вроде токенов и ключей. Такая информация может существенно сократить цикл подготовки атаки и упростить движение по сети и эскалацию привилегий.
Кто стоит за шантажом: объединение преступников и EaaS-модель
После огласки инцидента Scattered Lapsus$ Hunters — объединение участников Scattered Spider, LAPSUS$ и ShinyHunters — попытались связаться с Crimson Collective и объявили о сотрудничестве. На недавно запущенном «сайте утечек» ShinyHunters были опубликованы образцы, а злоумышленники пригрозили выложить весь массив 10 октября 2025 года, если требования не будут удовлетворены.
Как отмечает BleepingComputer, ShinyHunters действует по модели extortion-as-a-service (EaaS): выступает брокером выкупов и инфраструктуры вымогательства для сторонних взломщиков, забирая долю за организацию шантажа. «Все, с кем я работал в прошлом, брали 70–75%, а мне доставалось 25–30%», — сообщил изданию один из участников. Ранее от имени ShinyHunters осуществлялась коммуникация и шантаж по инцидентам, связанным с Oracle Cloud и PowerSchool.
Риски для клиентов и цепочки поставок
Если массив данных действительно включает CER-отчеты с конфиденциальными деталями, под угрозой могут оказаться как сами заказчики, так и их партнеры по цепочке поставок. Основные риски: целевые фишинговые кампании (spear-phishing), эксплуатация неправильно настроенных сервисов, повторное использование токенов/ключей, а также компрометация CI/CD-пайплайнов и артефактов сборки.
Практические меры защиты: что делать сейчас
Организациям, которые могли взаимодействовать с Red Hat по каналам, фигурирующим в отчетах, имеет смысл предпринять немедленные шаги:
— Провести инвентаризацию и ротацию всех секретов, упомянутых в CER (ключи, токены, пароли), внедрить короткоживущие токены и ограничение по IP/контексту.
— Выполнить аудит GitLab/SCM: включить Secret Detection, обязательные 2FA/SSO, правила защиты веток и подписанные коммиты (Sigstore/Git signing).
— Пересмотреть сетевые ACL, сегментацию и привилегии сервисных аккаунтов; применить принцип наименьших привилегий.
— Усилить мониторинг: оповещения на аномальные входы, внезапные изменения репозиториев, скачивания больших объемов, подозрительные запросы к API.
— Разграничить и шифровать клиентские артефакты, применять DLP и классификацию данных, минимизировать конфиденциальные сведения в консалтинговых отчетах.
Тренд на индустриализацию вымогательства
Кооперация между Crimson Collective и Scattered Lapsus$ Hunters подтверждает устойчивый тренд: вымогательство превращается в сервис с разделением ролей — от первоначального взлома до переговоров, PR и публикации данных. Такая «конвейеризация» снижает барьеры входа для новых групп и повышает вероятность повторных атак на одну и ту же жертву через разные аффилиации.
Инцидент вокруг Red Hat подчеркивает уязвимость инструментов разработки и консалтинговых артефактов как «точек с высоким коэффициентом ущерба». Компании, полагающиеся на GitLab и аналогичные платформы, должны рассматривать их как критическую инфраструктуру: внедрять жесткую сегментацию, многофакторную аутентификацию, постоянное сканирование секретов и оперативную ротацию ключей. В условиях EaaS скорость обнаружения и сдерживания инцидента становится решающим фактором снижения ущерба.
