Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Red Hat sufre violación de datos: ShinyHunters y Crimson Collective

Red Hat sufre violación de datos: ShinyHunters y Crimson Collective

por Dragora

La reconocida compañía de software empresarial Red Hat, filial de IBM, se encuentra en el centro de una grave violación de datos tras ser víctima de un ciberataque que ha derivado en una campaña de extorsión por parte de la pandilla ShinyHunters. Los atacantes aseguran haber robado cientos de gigabytes de información confidencial y amenazan con filtrarla públicamente si no se cumple con su demanda económica.

Según la información publicada por BleepingComputer, el incidente comenzó la semana pasada cuando un grupo de hackers autodenominado Crimson Collective afirmó haber sustraído casi 570 GB de datos comprimidos, extraídos de más de 28,000 repositorios internos de desarrollo pertenecientes a Red Hat.


Crimson Collective asegura haber robado informes confidenciales de clientes

Los atacantes afirman que entre los archivos obtenidos se incluyen alrededor de 800 informes de participación del cliente (Customer Engagement Reports, CER). Estos informes podrían contener información altamente sensible sobre la infraestructura, las redes y las plataformas tecnológicas utilizadas por los clientes de Red Hat, entre los que figuran grandes corporaciones y entidades gubernamentales.

El grupo de ciberdelincuentes habría intentado extorsionar directamente a la empresa para evitar la divulgación pública de los datos, pero al no recibir respuesta, optaron por filtrar parte del material robado como medida de presión.

Red Hat confirmó posteriormente a BleepingComputer que la brecha afectó exclusivamente su instancia de GitLab utilizada por el equipo de Red Hat Consulting, un entorno independiente destinado a proyectos de consultoría.

“El incidente involucró un sistema interno de GitLab usado en compromisos de consultoría. Ninguna otra infraestructura de Red Hat ni servicios críticos se vieron comprometidos”, explicó un portavoz.


ShinyHunters entra en escena: una alianza de ciberextorsión

Tras hacerse pública la violación, otro grupo de hackers conocido como Scatter Lapsus$ Hunters contactó con Crimson Collective. Días después, ambos anunciaron una alianza estratégica con la pandilla ShinyHunters, una de las organizaciones de ciberextorsión más activas del mundo.

La colaboración fue confirmada en un comunicado publicado en un canal de Telegram, donde Crimson Collective declaró:

“Vamos a colaborar con ShinyHunters para futuros ataques y lanzamientos. Nuestro brillo se extenderá aún más lejos”.

En paralelo, una nueva entrada dedicada a Red Hat apareció en el sitio de filtraciones de ShinyHunters, advirtiendo que los datos serían liberados el 10 de octubre de 2025 si la compañía no negociaba un acuerdo económico.

Como parte del chantaje, los atacantes publicaron muestras de los informes CER robados, que presuntamente contienen información de clientes de alto perfil, incluyendo Walmart, HSBC, el Banco de Canadá, Atos Group, American Express, el Departamento de Defensa de EE. UU. y Société Française du Radiotéléphone (SFR).

Hasta el momento, Red Hat no ha emitido comentarios adicionales sobre el nuevo giro del incidente.


ShinyHunters consolida su modelo de “extorsión como servicio” (EaaS)

La aparición de ShinyHunters en este caso refuerza la teoría de que el grupo ha estado operando bajo un modelo de “Extortion-as-a-Service” (EaaS). Este esquema replica el concepto del ransomware como servicio (RaaS), donde los operadores proporcionan la infraestructura, el sitio de filtraciones y la gestión de pagos, mientras que los atacantes asociados realizan los ciberataques iniciales.

De acuerdo con investigaciones de BleepingComputer, ShinyHunters colabora con múltiples grupos de amenazas, ofreciendo su plataforma a cambio de un porcentaje de los pagos obtenidos mediante extorsión.
Un representante de ShinyHunters declaró:

“Las personas con las que trabajo reciben entre el 70 % y el 75 % del pago, mientras que yo obtengo el 25 % o 30 % restante”.

Esta declaración confirma que ShinyHunters no ejecuta todos los ataques directamente, sino que actúa como intermediario y facilitador, ofreciendo soporte técnico y canales de publicación para maximizar la presión sobre las víctimas.

Publicación de Telegram de Crimson Collective

Publicaciónde Telegram de Crimson CollectiveFuente: BleepingComputer


Antecedentes y operaciones recientes de ShinyHunters

ShinyHunters ha estado vinculado a diversos incidentes de alto perfil en los últimos años, incluyendo ataques a Oracle Cloud, PowerSchool y la filtración masiva de Snowflake.
Pese a varios arrestos internacionales de individuos asociados al grupo, los ataques bajo el nombre “ShinyHunters” continúan activos, lo que sugiere la existencia de una red descentralizada de operadores afiliados.

Con el lanzamiento de su nuevo sitio público de fuga de datos, la organización parece estar consolidando su papel como proveedor de servicios de extorsión digital, similar al funcionamiento de las franquicias de ransomware.

Además de Red Hat, ShinyHunters también ha incluido a S&P Global en su sitio web, afirmando que la empresa fue comprometida en febrero de 2025. Aunque S&P Global negó inicialmente cualquier intrusión, los atacantes publicaron muestras de datos presuntamente extraídos y establecieron la misma fecha límite del 10 de octubre para el pago.

“No comentamos sobre tales afirmaciones. Como empresa que cotiza en EE. UU., estamos obligados a divulgar públicamente incidentes materiales de ciberseguridad”, dijo un portavoz de S&P Global a BleepingComputer.


Un llamado urgente a fortalecer la seguridad corporativa

El caso de Red Hat representa un nuevo ejemplo del crecimiento de las campañas de extorsión sin ransomware, donde los actores de amenazas optan por el robo y la exposición de información sensible en lugar de cifrar los sistemas.
Este modelo minimiza el riesgo técnico y maximiza la presión psicológica y reputacional sobre las víctimas, especialmente cuando se trata de compañías multinacionales.

A medida que el modelo de extorsión como servicio gana tracción, las empresas deben reforzar su seguridad en entornos de desarrollo, herramientas de colaboración y repositorios internos, especialmente en plataformas de código como GitLab o GitHub.
La segmentación de accesos, el monitoreo continuo, la cifrado de datos en reposo y las auditorías periódicas son esenciales para prevenir brechas similares.

Por ahora, el reloj corre para Red Hat. Si la compañía no llega a un acuerdo con los atacantes antes del 10 de octubre, los 570 GB de información robada podrían hacerse públicos, intensificando las consecuencias de uno de los ataques corporativos más preocupantes de 2025.

Fuente: Bleeping Computer

You may also like

Dejar Comentario

Click to listen highlighted text!