Группировка Scattered Lapsus$ Hunters шантажирует компанию Red Hat. На сайте злоумышленников появились образцы похищенных у компании отчетов о взаимодействии с клиентами, и хакеры утверждают, что потребовали у Red Hat выкуп, но пока не получили ответа.

На прошлой неделе вымогательская группировка Crimson Collective заявила о краже 570 ГБ данных из 28 000 внутренних репозиториев Red Hat. Представители компании подтвердили, что был взломан один из ее инстансов GitLab.

Тогда злоумышленники сообщили, что украденные данные содержат около 800 CER-отчетов (Customer Engagement Reports), в которых можно найти конфиденциальную информацию о сетях и платформах заказчиков.

CER-отчеты представляют собой консалтинговые документы, которые подготавливаются для клиентов и часто содержат детали инфраструктуры, конфигурационные данные, токены аутентификации и другую информацию, которая может использоваться для атак.

Как сообщает издание Bleeping Computer, вскоре после раскрытия данных об утечке злоумышленники из группировки Scattered Lapsus$ Hunters (объединение участников хак-групп Scattered Spider, LAPSUS$ и Shiny Hunters) попытались установить контакт с Crimson Collective.

В итоге группировка объявила, что объединилась с Scattered Lapsus$ Hunters и на недавно запущенном «сайте для утечек» ShinyHunters были опубликованы образцы украденных у Red Hat данных. Злоумышленники угрожают опубликовать все 570 ГБ данных 10 октября 2025 года, если компания не заплатит выкуп.

«Мы собираемся сотрудничать с ShinyHunters для будущих атак и публикаций», — заявили злоумышленники из Crimson Collective журналистам.

Журналисты отмечают, что в настоящее время ShinyHunters действует как сервис для вымогательства (extortion-as-a-service, EaaS): они сотрудничают с другими злоумышленниками, чтобы вымогать у компаний деньги в обмен на долю от суммы выкупа.

Эта версия основывалась на многочисленных атаках, проведенных разными злоумышленниками, за которые шантаж осуществлялся от имени ShinyHunters, в том числе атаки против Oracle Cloud и PowerSchool. Беседы с представителями ShinyHunters подтверждали эту теорию: группировка заявляла, что не стояла за конкретными взломами, а лишь выступала брокером похищенных данных.

Недавно участники ShinyHunters сообщили BleepingComputer, что они действительно работают по схеме EaaS, получая долю от выкупов, полученных в результате атак других злоумышленников.