דליפת מידע ברד האט חשפה אלפי לקוחות בפרופיל גבוה

קבוצת סחיטה שלא הייתה ידועה בעבר גנבה תיעוד רגיש וקוד מקור הקשורים למערכות רד האט (Red Hat), כך אישרה ענקית הקוד הפתוח מבית יבמ (IBM) – הבעלים. לפי חוקרי אבטחה, ניתוח הנתונים שנקצרו מצביע על כך ש-"יותר מ-5,000 ארגונים ארגוניים עלולים להיות מושפעים מהפריצה".

הקבוצה, המכנה עצמה קולקטיב  קרימזון (Crimson Collective) – הודיעה בראשונה על הפריצה ב-13 בספטמבר, כמעט חודש לפני החשיפה הפומבית של האירוע. עדויות ראשונות הגיעו מטלגרם, שם פרסמה הקבוצה, שהיו לה אז רק 22 עוקבים, צילומי מסך על קורבנות שלה – חברות הטלקום הגדולות קלארו (Claro) ו-וודאפון (Vodafone). אלו חוו מתקפות סחיטה מ-$Lapsus ב-2021 ו-2022, בהתאמה.

מיליוני קבצים, בהיקף של מאות ג'יגה-בייט, נגנבו מ-Red Hat Consulting – שירות ייעוץ טכנולוגי של רד האט, המסייע לארגונים למנף פתרונות קוד פתוח דוגמת לינוקס, ענן וקוברנטיס, כדי לפתור בעיות עסקיות מורכבות, לשפר את יעילות הפיתוח ולהטמיע אוטומציה.

רד האט הודיעה על האירוע ללקוחות שנפגעו.

🚨 Crimson Collective [Critical] Oct 08, 2025 The Crimson Collective is an emerging extortion group that has claimed responsibility for a major breach at Red Hat Consulting, impacting over 5,000 enterprise customers. The group exfiltrated sensitive data, including customer… pic.twitter.com/DKzHKo39D1

— transilienceai (@transilienceai) October 8, 2025

חוקר האבטחה בריאן קרבס ייחס את כינוי הטלגרם 'מיקו', השייך למנהל של קרימזון, לת'להה ג'ובייר – נער בריטי שהואשם כחבר בקבוצת העכביש המפוזר (Scattered Spider) ומעצרו הוארך עד למשפטו. ג'ובייר נאשם בביצוע מתקפות נגד Transport for London. עמיתיו של קרבס ציינו כי דבריו מעניקים תוספת אמינות לייחוס. חיזוק נוסף התקבל מהדמיון שיש באתר הדלפות חדש שהוקם, בשם Scattered Lapsus$ Hunters.

באתר ההדלפות יש שגיאות הקלדה שנעשו בעבר על ידי אותה קבוצה, הערות גזעניות ומוזיקה של פוקימון המושמעת ברצף. "חפיפה זו, של טקטיקות וישויות, מצביעה על כך ש'קולקטיב קרימזון' היא התפתחות של $Lapsus או שהיא שותפה, הנסמכת על המוניטין שלה", נכתב.

נתונים נקצרו ממספר חברות בפרופיל גבוה

ההאקרים ציינו כמה חברות בפרופיל גבוה מהן נקצרו נתונים: יצרנית הגז AIR, יחידה עסקית באמריקן אקספרס (American Express Global Business Travel), בנק HSBC, רשת וולמארט (Walmart), בנק אוף קנדה (Bank of Canada) ודלתא איירליינס (Delta Airlines). לפי חוקרי אבטחה, "זה העמיד את הארגונים הללו בסיכון חמור למתקפות התחזות ופענוח אסור של תעבורה פנימית".

קבוצת האקרים מאיימת לשחרר מאות ג'יגה-בייט של מידע גנוב – אם החברה לא תשלם כופר. ההאקרים קבעו את הדדליין למחר (ו') אך לדבריהם, החברה מתעלמת מהם. השבוע ההאקרים פרסמו קובץ גדול, המכיל לכאורה חלק מהנתונים.

רד האט, מצידה, הצהירה בפומבי שלא תנהל משא ומתן עם ההאקרים הסחטנים, והדגישה כי "התשלום רק מנציח התקפות נוספות".

מומחים העריכו כי רגולטורים שונים צפויים לפתוח בחקירות של האירוע, בהינתן המעורבות של נתונים פרטיים של אזרחים ושחלק מהנתונים – דלפו ממערכות בריאות.

בפוסט ברשת האפלה, חברי הקבוצה כתבו כי גנבו נתונים מיותר מ-28,000 מאגרי קוד של רד האט, כולל אסימוני גישה ודו"חות על לקוחות. "זו פצצת זמן מתקתקת של 570 ג'יגה-בייט של הכישלונות שלך", התגאו ההאקרים.

רד האט, שלקוחותיה כוללים סוכנויות ממשלתיות, מפעילי תשתיות קריטיות ותאגידים גדולים, אישרה כי היא "זיהתה באחרונה גישה לא מורשית" לאחד מערוצי ה-GitLab שלה, "המשמשים לשיתוף פעולה פנימי… המערכת שנפגעה הכילה נתוני ייעוץ, קטעי קוד לדוגמה, תקשורת פנימית על שירותי ייעוץ ופרטי קשר עסקיים באופן מוגבל".

המתקפה לא כוונה לתשתית של GitLab עצמה, ודובר GitLab אמר שהמערכות שלה נותרו מאובטחות.

חברי הקבוצה אמרו לאתר Dark Reading כי הם "קבוצת כופר סחיטה שעובדת למטרות רווח בלבד". "אנו הולכים לשתף פעולה עם ShinyHunters לטובת מתקפות עתידיות", אמרו שחקני האיום ל-BleepingComputer.

ShinyHunters אמרו לאתר כי הם פועלים באופן פרטי כ-EaaS (סחיטה כשירות), והם לוקחים נתח מההכנסות של תשלומי סחיטה במסגרת מתקפות של שחקני איום אחרים.

בהכנת הידיעה השתתף פלי הנמר