Vi phạm dữ liệu của Red Hat leo thang khi ShinyHunters tham gia hoạt động tống tiền

Gã khổng lồ phần mềm Red Hat hiện đang bị nhóm tin tặc ShinyHunters tống tiền bằng cách rò rỉ các mẫu báo cáo về mức độ tương tác của khách hàng (CER) bị đánh cắp trên trang web rò rỉ dữ liệu của nhóm này.

Crimson Collective hợp tác với ShinyHunters

Tin tức về vụ vi phạm dữ liệu của Red Hat nổ ra vào đầu tháng 10/2025, khi một nhóm tin tặc có tên Crimson Collective tuyên bố đã đánh cắp gần 570 GB dữ liệu nén trên 28.000 kho lưu trữ phát triển nội bộ.

Dữ liệu này được cho là bao gồm khoảng 800 báo cáo CER, có thể chứa thông tin nhạy cảm về mạng, cơ sở hạ tầng và nền tảng của khách hàng. Những kẻ tấn công tuyên bố đã cố gắng tống tiền Red Hat để trả tiền chuộc nhằm ngăn chặn việc công khai dữ liệu, nhưng không nhận được phản hồi.

Red Hat sau đó đã xác nhận với trang tin BleepingComputer rằng, vụ vi phạm này ảnh hưởng đến phiên bản GitLab của công ty, vốn chỉ được Red Hat Consulting sử dụng cho các hợp đồng tư vấn.

Ngay sau khi sự việc được tiết lộ, những kẻ tấn công có tên Scattered Lapsus$ Hunters đã tìm cách liên lạc với Crimson Collective. Trong một diễn biến mất nhất, nhóm tin tặc Crimson Collective cho biết họ đã hợp tác với Scattered Lapsus$ Hunters để sử dụng trang web rò rỉ dữ liệu ShinyHunters mới ra mắt nhằm tiếp tục nỗ lực tống tiền Red Hat.

Bài đăng trên Telegram của Crimson Collective

“Chúng tôi khẳng định sẽ bắt tay hợp tác với ShinyHunter để chuẩn bị các cuộc tấn công tiếp theo trong tương lai”, nhóm tin tặc Crimson Collective chia sẻ. Hiện tại, một mục thông tin của Red Hat hiện đã xuất hiện trên một trang web tống tiền rò rỉ dữ liệu mới của ShinyHunters, cảnh báo công ty rằng dữ liệu sẽ bị rò rỉ công khai vào ngày 10/10, nếu không thương lượng được yêu cầu trả tiền chuộc với ShinyHunters.

Ngoài ra, những kẻ tấn công còn công bố các mẫu báo cáo CER bị đánh cắp, bao gồm cả thông tin của Walmart, HSBC, Bank of Canada, Atos Group, American Express,…

ShinyHunters tống tiền dưới dạng dịch vụ

Trong nhiều tháng qua, đã có nhiều giả thiết suy đoán rằng ShinyHunters hoạt động như một dịch vụ tống tiền (EaaS), nơi chúng hợp tác với các tác nhân đe dọa để tống tiền một công ty để đổi lấy một phần yêu cầu tống tiền, tương tự như cách các băng nhóm ransomware hoạt động.

Lý thuyết này dựa trên nhiều hoạt động tống tiền do các tin tặc thực hiện, tất cả đều dưới tên ShinyHunters, bao gồm cả những cuộc tấn công nhắm vào Oracle Cloud và PowerSchool.

Các thông báo của ShinyHunters càng củng cố thêm cho lý thuyết này, vì nhóm này trước đó đã tuyên bố không đứng sau một vụ vi phạm cụ thể nào mà chỉ đóng vai trò là bên môi giới dữ liệu bị đánh cắp.

Hơn nữa, đã có rất nhiều vụ bắt giữ những cá nhân có liên quan đến cái tên “ShinyHunters” trong nhiều năm qua, bao gồm cả những vụ việc liên quan đến các cuộc tấn công đánh cắp dữ liệu Snowflake, các vụ vi phạm tại PowerSchool và hoạt động của diễn đàn hack Breached v2. Tuy nhiên, ngay cả sau những vụ bắt giữ này, các cuộc tấn công mới vẫn xảy ra khi các công ty nhận được email tống tiền có nội dung “Chúng tôi là ShinyHunters”.

Ngày 06/10, ShinyHunters chia sẻ với trang tin BleepingComputer rằng họ đã hoạt động riêng tư như một EaaS, nơi họ lấy một phần doanh thu từ bất kỳ khoản thanh toán tống tiền nào được tạo ra từ các cuộc tấn công của những tác nhân đe dọa khác.

Với sự ra mắt của trang web rò rỉ dữ liệu ShinyHunters, có vẻ như kẻ tấn công đang công khai điều hành dịch vụ tống tiền này. Ngoài Red Hat, ShinyHunters cũng đang tống tiền SP Global và thay mặt cho một tác nhân đe dọa khác, tuyên bố đã xâm phạm công ty vào tháng 02/2025. Những kẻ tấn công hiện đã công bố các mẫu dữ liệu SP Global trên trang web rò rỉ dữ liệu, tuyên bố rằng chúng đã bị đánh cắp trong cuộc tấn công và cũng đặt ra thời hạn là ngày 10/10 để trả tiền chuộc.