Kendini Crimson Collective olarak adlandıran bir gasp grubu, Red Hat Consulting’de büyük bir ihlalden sorumlu olduğunu iddia etti.
O zamanlar Telegram’da sadece 22 takipçisi ile grubun şöhrete hızlı yükselişi güvenlik uzmanlarını sersemletti. O günün sonunda, Red Hat ihlali doğruladı ve etkilenen müşterileri bilgilendirmeye başladı.
Red Hat Consulting, karmaşık teknoloji zorluklarını ele alan büyük işletmelere uzman teknik hizmetler sunar.
Erken kanıtlar, saldırganların müşteri belgelerini, kaynak kodunu ve diğer hassas varlıkları ortadan kaldırdığını göstermektedir.
Crimson Collection’ın Lapsus $-bağlantılı aktörlerle bağları
Güvenlik araştırmacısı Brian Krebs, dağınık örümcek ve Lapsus $ olayları ile bağlantılı olarak şarj edilen Thalha Jubair’e bağlı bir telgraf tutamakının “Miku” nun Crimson Collective’e bağlı olduğunu belirtti.
Jubair şu anda Londra Siber Attack Taşımacılığına katıldığı iddiasıyla yargılanmayı beklemede.
İlginç bir şekilde, Crimson Collective’in ilk sızdırılmış kurbanı, 2021’de Lapsus $ tarafından hedeflenen telekom olan Claro’ydu.
İhlalden elde edilen ekran görüntüleri, daha önce 2022’de Lapsus $ tarafından ihlal edilen Vodafone’un, büyük hizmet sağlayıcılarını hedeflemenin olası bir modelinin altını çizdiğini vurguluyor.
Grup tarafından listelenen uzlaşma tarihi olan 13 Eylül 2025’te, Crimson Collective, Hallmark Lapsus $ özellikleri kasıtlı yazım hataları, HTML yorumlarında, şakalar ve hatta Pokémon melodileri ile şekillendirilmiş bir portal aracılığıyla kanıtı sızdırmaya başladı.
İlk sızıntı, 370.852 dizin ve 3.438.976 dosyayı gösteren bir dosya ağacı içeriyordu. Yedi kuruluş için Örnek Danışmanlık Katılım Raporları (CERS) AIR, AMEX_GBT, ATOS_GROUP (NHS İskoçya), BOC, HSBC ve Walmart, meşruiyet göstermek için yayınlandı.
Sonraki bir sürüm, 32 milyondan fazla dosyanın “benzeri görülmemiş” bir dosya ağacı içeren 2.2 GB zip sundu.
Dizin yapısının analizi, danışmanlık raporlarını, tescilli kodları ve çeşitli iç varlıkları kapsayan 5.000’den fazla kurumsal müşterinin etkilendiğini göstermektedir.
ING Bank ve Delta Havayolları için .PFX Özel Sertifikalar gibi hassas öğeler, yüksek riske maruz kalmanın açık bir göstergesi olan sızdırılan dosyalar arasındaydı. İşletmeler, çalınan tüm verilerin herkese açık olabileceğini varsaymalıdır.
Etkilenen kuruluşlar, çalınan dosyaların listesini almak için Red Hat Danışmanlığı desteğine acilen iletişim kurmalıdır.
Hemen sertifikaları ve kimlik bilgilerini döndürmeli, güvenlik yapılandırmalarını gözden geçirmeli ve kapsamlı iyileştirme planları uygulamalıdır.
Fidye ödemek, daha fazla saldırıyı teşvik edebileceği için cesaret kırılır. Çalınan verilerin işlem gören kopyaları için sürekli izleme de kritiktir.
Red Hat, danışmanlık uygulama güvenlik önlemlerini desteklemek için baskı altında kalıyor. Bu arada, kuruluşlar iç kontrolleri ve olay müdahale hazırlıklarını güçlendirmelidir. Devam eden güncellemeler için Mastodon’da Kevin Beaumont’u takip edin.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.