上周，一个名为“深红集体”（Crimson Collective）的、鲜为人知的勒索组织引起了我的注意。当时他们在Telegram上只有22个关注者。

红帽公司在当天晚些时候确认了此次入侵事件，并开始通知受影响的客户。红帽咨询是为大型企业处理复杂技术问题的咨询顾问。很明显，他们围绕客户的文档和源代码已被窃取。

布莱恩·克雷布斯（Brian Krebs）注意到一些有趣的信息：

具体来说，Miku据称是Thalha Jubair的Telegram用户名，他是一位英国青少年，因参与LAPSUS$组织而闻名。在英国国家犯罪调查局指控他是Scattered Spider组织成员后，Thalha本应在候审期间被拘留：

链接：https://www.nationalcrimeagency.gov.uk/news/two-charged-for-tfl-cyber-attack

同样值得注意的是，深红集体列出的第一个受害者是电信公司Claro——这也是LAPSUS$在2021年的第一个受害者。此外，在红帽集体黑客事件中，他们在截图中突出了沃达丰（Vodafone）——这家公司也是LAPSUS$在2022年的攻击目标。

时间来到周末，Scattered LAPSUS$ Hunters在他们新建立的网站上发布了一条关于红帽的条目：

（按下回车键或点击以查看完整尺寸图片）

该网站具有LAPSUS$活动的所有特征，例如重复拼写错误、HTML评论中的随意种族主义言论、玩笑话……以及宝可梦旋律。

红帽被入侵的日期列为2025年9月13日，早于Thalha因伦敦交通局（Transport for London）黑客攻击被指控的日期。

这些数据是真实的。他们发布了一个文件树作为证据，包含370,852个目录和3,438,976个文件。

他们还发布了7家组织的样本CER（咨询参与报告），这些组织包括：AIR、AMEX_GBT、Atos_Group（苏格兰NHS）、BOC、HSBC和沃尔玛。

今天早些时候，他们又发布了2.2GB的红帽样本数据——这是一个包含了我所见过的最长文件树的ZIP文件。文件树显示，超过3200万个文件被盗。

文件树显示超过5000家企业组织受到影响，其中包括咨询参与报告、源代码以及其他与所述客户相关的零散信息。

部分数据显然是敏感的，例如.pfx文件（私有证书，绝不应公开）——这次涉及荷兰国际集团和达美航空：

（按下回车键或点击以查看完整尺寸图片）

我的看法——红帽不应该支付勒索赎金，因为这只会鼓励更多此类攻击，而且如果Thalha仍被拘留的话，可能有人需要检查他是否拥有亚马逊Fire Stick电视棒。

受影响的组织应联系红帽咨询支持部门，获取被盗文件——并采取补救措施，例如更换证书、更改存储的凭据等，并基于所有文件未来都将被公开的假设来制定计划，因为很明显这些文件已经在网上被交易了。

如果你想获取此主题的更新，可以在Mastodon上关注我。