شرکت بزرگ نرمافزار سازمانی Red Hat اکنون هدف اخاذی گروه هکری ShinyHunters قرار گرفته است. این گروه با راهاندازی صفحهای در سایت افشای دادههای خود، نمونههایی از گزارشهای تعامل با مشتری (CER) سرقتشده را منتشر کردهاند.
هفته گذشته خبر نفوذ به Red Hat منتشر شد؛ گروهی با نام Crimson Collective ادعا کردند که حدود ۵۷۰ گیگابایت داده فشرده شامل بیش از ۲۸ هزار مخزن توسعهی داخلی را سرقت کردهاند. این دادهها شامل تقریباً ۸۰۰ گزارش CER است که ممکن است حاوی اطلاعات حساس دربارهی شبکه، زیرساخت و پلتفرمهای مشتریان باشد.
مهاجمان ابتدا تلاش کردند از Red Hat باجخواهی کنند تا مانع انتشار عمومی دادهها شوند، اما پاسخی دریافت نکردند.
Red Hat تأیید کرده که این نفوذ به نمونهی GitLab آنها مربوط میشود که صرفاً برای بخش مشاوره مورد استفاده قرار میگرفت.
🔗 همکاری گروههای هکری
پس از افشای اولیه، گروهی دیگر با نام Scattered Lapsus$ Hunters سعی در تماس با Crimson Collective داشتند. روز گذشته نیز Crimson Collective اعلام کرد که برای ادامه عملیات اخاذی از Red Hat، با ShinyHunters همکاری میکند و دادههای سرقتشده را از طریق سایت افشای دادهی ShinyHunters منتشر خواهد کرد.
در پست تلگرام این گروه آمده است:
«در ۴ آوریل ۱۹۴۹ ناتو شکل گرفت، اما اگر اتحاد امروز بزرگتر از آن باشد چه؟ اما برای هدفی بزرگتر: نابود کردن ذهن شرکتها.»
همزمان با این اعلامیه، نام Red Hat در سایت ShinyHunters ثبت شده و به این شرکت هشدار داده شده که در صورت مذاکره نکردن دربارهی پرداخت باج، دادهها تا ۱۰ اکتبر بهصورت عمومی منتشر خواهند شد.
همچنین، مهاجمان نمونههایی از گزارشهای سرقتشده مربوط به شرکتهایی چون Walmart، HSBC، بانک کانادا، Atos Group، American Express، وزارت دفاع آمریکا و SFR فرانسه را منتشر کردهاند.
ShinyHunters و مدل «اخاذی بهعنوان خدمت» (EaaS)
برای ماهها گمانهزنیهایی وجود داشت مبنی بر اینکه ShinyHunters بهعنوان یک سرویس اخاذی (Extortion-as-a-Service) فعالیت میکند؛ یعنی با همکاری سایر گروههای هکری در اخاذی شرکتها سهیم میشود، مشابه مدل «باجافزار بهعنوان خدمت» (RaaS).
این فرضیه زمانی تقویت شد که در حملات متعددی، باجخواهی با نام ShinyHunters انجام میشد، از جمله حملات علیه Oracle Cloud و PowerSchool. خود گروه نیز در گفتگو با رسانهها تأیید کرده بود که در برخی موارد مستقیماً در نفوذ دخیل نبوده و صرفاً بهعنوان واسطهی فروش دادههای سرقتی عمل میکرده است.
با وجود دستگیری چندین نفر از افراد مرتبط با ShinyHunters در سالهای اخیر (از جمله در پروندهی حمله به Snowflake و نفوذ به PowerSchool)، حملات جدید همچنان با پیام «ما ShinyHunters هستیم» ادامه یافتهاند.
این گروه در گفتوگو با BleepingComputer تأیید کرده که تا کنون بهصورت خصوصی بهعنوان EaaS فعالیت کردهاند و از پرداختهای باج سایر گروهها ۲۵ تا ۳۰ درصد سهم دریافت کردهاند.
اکنون با راهاندازی رسمی سایت افشای داده، ShinyHunters رسماً این سرویس را عمومی کردهاند.
قربانیهای دیگر و مهلتهای جدید
علاوه بر Red Hat، ShinyHunters اکنون شرکت SP Global را نیز به نمایندگی از گروهی دیگر که ادعا میکند در فوریه ۲۰۲۵ به این شرکت نفوذ کرده، هدف اخاذی قرار داده است.
در زمان ادعای اولیه، SP Global اعلام کرده بود که هیچ نفوذی رخ نداده، اما اکنون مهاجمان دادههایی را منتشر کرده و مهلت ۱۰ اکتبر برای پرداخت تعیین کردهاند.
SP Global در پاسخ به پرسش رسانهها درباره این موضوع، از اظهار نظر خودداری کرده و تنها گفته است:
«ما درباره اینگونه ادعاها اظهار نظر نمیکنیم. بهعنوان یک شرکت آمریکایی موظفیم هرگونه حادثهی سایبری مهم را بهطور عمومی افشا کنیم.»
📌 جمعبندی
🔴 نفوذ به Red Hat از یک حادثهی امنیتی معمولی فراتر رفته و حالا با ورود ShinyHunters به میدان، به یک عملیات اخاذی سازمانیافته و چندمرحلهای تبدیل شده است.
📅 تا ۱۰ اکتبر فرصت باقی است و در صورت عدم توافق، انتشار عمومی دادههای حساس مشتریان آغاز خواهد شد.
