Il colosso del software enterprise Red Hat si trova ora nel mirino di una sofisticata operazione di estorsione digitale che ha assunto contorni sempre più preoccupanti. Il gruppo criminale ShinyHunters ha infatti pubblicato sul proprio sito di data leak alcuni campioni di documenti riservati sottratti all'azienda, innalzando la posta in gioco di quello che si sta configurando come uno dei più significativi attacchi informatici dell'anno. La vicenda rivela non solo le vulnerabilità delle infrastrutture tecnologiche più avanzate, ma anche l'evoluzione delle strategie criminali nel panorama cyber, dove le alleanze tra diversi gruppi di hacker stanno ridisegnando le dinamiche dell'estorsione digitale.
L'alleanza criminale che preoccupa gli esperti
Quello che inizialmente sembrava un attacco isolato si è trasformato in una collaborazione criminale senza precedenti. Il gruppo Crimson Collective, responsabile del furto iniziale di quasi 570GB di dati compressi da 28.000 repository di sviluppo interno di Red Hat, ha annunciato una partnership strategica con Scattered Lapsus$ Hunters per sfruttare la piattaforma di estorsione ShinyHunters. L'annuncio, diffuso attraverso i canali Telegram del gruppo, ha utilizzato un linguaggio provocatorio che fa riferimento alla NATO del 1949, suggerendo ironicamente la creazione di una "nuova alleanza" con obiettivi diametralmente opposti.
La strategia di questi cybercriminali si basa su un modello che ricorda da vicino quello dei franchising commerciali più tradizionali. ShinyHunters opera infatti come un Extortion-as-a-Service (EaaS), un servizio di estorsione dove altri gruppi criminali possono appoggiarsi alla loro infrastruttura e reputazione in cambio di una percentuale sui ricavi. Secondo quanto dichiarato dagli stessi criminali, la divisione dei proventi prevede che i partner ricevano il 70-75% mentre ShinyHunters trattiene una quota del 25-30%.
I documenti che fanno tremare le multinazionali
Tra i materiali sottratti e ora utilizzati come leva per l'estorsione figurano circa 800 Customer Engagement Reports (CER), documenti che contengono informazioni sensibili sulle reti, le infrastrutture e le piattaforme dei clienti di Red Hat. I campioni rilasciati pubblicamente includono report relativi a colossi come Walmart, HSBC, Bank of Canada, Atos Group, American Express, il Dipartimento della Difesa americano e Société Française du Radiotéléphone. Questi documenti, normalmente utilizzati dai consulenti di Red Hat per le attività di engagement con i clienti, rappresentano un tesoro informativo per chiunque voglia colpire le infrastrutture critiche di queste organizzazioni.
L'attacco ha preso di mira specificamente l'istanza GitLab utilizzata esclusivamente da Red Hat Consulting per le attività di consulenza. Questa precisione nel targeting suggerisce una conoscenza approfondita dell'architettura informatica dell'azienda e solleva interrogativi sulle modalità con cui i criminali abbiano acquisito tali informazioni. Red Hat ha confermato ufficialmente l'attacco, ma finora non ha risposto alle richieste di riscatto, mantenendo una posizione di silenzio che potrebbe rivelarsi strategica o pericolosa a seconda dell'evolversi della situazione.
Il modello ShinyHunters che ridefinisce il crimine informatico
L'operatività di ShinyHunters come piattaforma di estorsione non è una novità assoluta, ma la formalizzazione pubblica di questo modello attraverso un sito web dedicato rappresenta un salto qualitativo significativo. Nel corso dei mesi precedenti, esperti di sicurezza informatica avevano già ipotizzato che il gruppo operasse secondo questo schema, basandosi sui numerosi attacchi condotti da diversi gruppi criminali ma tutti rivendicati sotto il marchio ShinyHunters. Questa strategia ha permesso al gruppo di mantenere la propria reputazione e visibilità nel panorama criminale nonostante i numerosi arresti di individui associati al nome nel corso degli anni.
La resilienza del marchio ShinyHunters agli arresti e alle operazioni delle forze dell'ordine dimostra come l'approccio decentralizzato e la natura di servizio del gruppo rappresentino una evoluzione tattica nel crimine informatico. Anche dopo gli arresti collegati agli attacchi Snowflake, PowerSchool e al forum Breached v2, continuano a emergere nuovi attacchi accompagnati da email di estorsione che riportano la firma "We are ShinyHunters".
SP Global nel mirino: quando le smentite non bastano
Parallelamente al caso Red Hat, la piattaforma di estorsione ShinyHunters sta gestendo anche l'estorsione di SP Global, società che a febbraio aveva categoricamente smentito di essere stata vittima di un attacco informatico. Tuttavia, la pubblicazione di campioni di dati presumibilmente sottratti ha rimesso in discussione quelle dichiarazioni iniziali. SP Global, ora confrontata con prove apparentemente concrete, ha scelto una linea di comunicazione più cauta, limitandosi a ricordare che, in qualità di società quotata negli Stati Uniti, è tenuta a divulgare pubblicamente gli incidenti di cybersecurity rilevanti.
La strategia temporale adottata dai criminali prevede la stessa scadenza del 10 ottobre per entrambe le aziende target, suggerendo un approccio coordinato che mira a massimizzare la pressione mediatica e a creare un precedente intimidatorio per future vittime. Questo timing sincronizzato rappresenta una novità nelle dinamiche dell'estorsione digitale e potrebbe segnalare un ulteriore livello di sofisticazione nell'approccio criminale.