Crimson Collective
Crimson Collective es un grupo emergente de extorsión cibernética especializado en intrusiones cloud, dirigidas principalmente a entornos AWS para robar datos confidenciales y presionar a las víctimas mediante la exposición pública y la exigencia de rescates.
El origen del Crimson Collective
La Crimson Collective es un grupo de amenazas emergentes que lleva a cabo ataques selectivos contra entornos cloud de AWS con el objetivo de filtrar datos y extorsionar. El grupo llamó la atención por primera vez tras reivindicar la autoría de un ataque a Red Hat, donde supuestamente robaron repositorios privados de GitLab. Sus operaciones reflejan un profundo conocimiento de la arquitectura de AWS, las configuraciones de IAM y los servicios cloud, aprovechando estos componentes legítimos para pasar desapercibidos hasta que se produce la filtración.
Crimson Collective es un nuevo actor motivado por la extorsión que tiene como objetivo las instalaciones cloud de AWS, con un fuerte enfoque en el robo de datos por encima del cifrado. El grupo reivindicó públicamente la violación de una instancia de GitLab de Red Hat Consulting y la filtración de una gran cantidad de repositorios internos; Red Hat confirmó el acceso no autorizado a ese GitLab de consultoría, pero no ha validado las reivindicaciones de robo más sensacionales. Los informes de código abierto vinculan la actividad Crimson Collective con el reconocimiento sistemático de AWS y la exportación de datos de cloud , en consonancia con las observaciones de Rapid7 sobre las recientes intrusiones centradas en AWS.
Existen indicios de colaboración o alineación con ecosistemas de ciberextorsión más amplios (por ejemplo, ShinyHunters/"HuntersScattered Lapsus$ "), aunque la relación operativa exacta es fluida y no está definida de forma concluyente.
Países objetivo Crimson Collective
El impacto parece global, con cobertura y notificaciones que abarcan organizaciones estadounidenses y europeas (incluida una advertencia de riesgo por parte de la autoridad nacional de ciberseguridad de Bélgica relacionada con el incidente).
Industrias a las que se dirige Crimson Collective
Hasta ahora, las entidades con una presencia considerable cloud y código fuente valioso o artefactos de clientes han sido mencionadas en los informes: los proveedores de software y sus ramas de consultoría son prominentes; las menciones de los medios de comunicación también hacen referencia a grandes empresas y CER del sector público como supuesta exposición, pero esas afirmaciones específicas siguen sin ser verificadas por Red Hat.
Víctimas Crimson Collective
La instancia privada de GitLab de Red Hat Consulting sufrió acceso no autorizado y copia de datos. No verificado pero reivindicado por el actor: robo masivo de repositorios/CER y compromiso posterior de clientes de consultoría.
Etapas de ataque y actividades
Los actores recopilan y validan las claves de acceso a largo plazo de AWS filtradas mediante TruffleHog (visible a través de la función GetCallerIdentity y "TruffleHog" user-agent en CloudTrail). A continuación, crean usuarios IAM (CrearUsuario, CrearPerfilDeInicio, CrearClaveDeAcceso) para la persistencia. En caso de que falle la creación, sondean los derechos con SimularPolíticaPrincipal.
Adjuntan AdministradorAcceso a los nuevos usuarios (AdjuntarUserPolicy) e inventariar exhaustivamente el entorno: IAM, EC2/EBS/S3, VPC/Route53/ELB, RDS, CloudWatch/Costes, cuotas de SES/SNS e inventarios de aplicaciones (una larga lista de Describe*, Listay Obtener* llamadas entre servicios).
Crean instancias EC2 permisivas (RunInstances, CrearGrupo de Seguridad) y adjuntar volúmenes (AdjuntarVolumen) para montar los datos copiados y procesarlos o transferirlos posteriormente.
Restablecen las contraseñas maestras de RDS (ModificarDBInstance), tomar instantáneas de RDS (CreateDBSnapshot) y exportarlos a S3 (StartExportTask). Crean instantáneas de EBS (Crear instantánea) como puesta a disposición de datos.
La filtración se produce a través del acceso a objetos S3 (GetObject) y potencialmente desde instancias EC2 controladas por atacantes.
El impacto es extorsionador: las víctimas reciben correos electrónicos (incluso a través del propio SES de la víctima) en los que se detallan los datos robados y se les exige un pago; la presión pública se amplifica a través de los medios de comunicación y las publicaciones en sitios de filtraciones por parte de grupos aliados.
Los actores recopilan y validan las claves de acceso a largo plazo de AWS filtradas mediante TruffleHog (visible a través de la función GetCallerIdentity y "TruffleHog" user-agent en CloudTrail). A continuación, crean usuarios IAM (CrearUsuario, CrearPerfilDeInicio, CrearClaveDeAcceso) para la persistencia. En caso de que falle la creación, sondean los derechos con SimularPolíticaPrincipal.
Adjuntan AdministradorAcceso a los nuevos usuarios (AdjuntarUserPolicy) e inventariar exhaustivamente el entorno: IAM, EC2/EBS/S3, VPC/Route53/ELB, RDS, CloudWatch/Costes, cuotas de SES/SNS e inventarios de aplicaciones (una larga lista de Describe*, Listay Obtener* llamadas entre servicios).
Crean instancias EC2 permisivas (RunInstances, CrearGrupo de Seguridad) y adjuntar volúmenes (AdjuntarVolumen) para montar los datos copiados y procesarlos o transferirlos posteriormente.
Restablecen las contraseñas maestras de RDS (ModificarDBInstance), tomar instantáneas de RDS (CreateDBSnapshot) y exportarlos a S3 (StartExportTask). Crean instantáneas de EBS (Crear instantánea) como puesta a disposición de datos.
La filtración se produce a través del acceso a objetos S3 (GetObject) y potencialmente desde instancias EC2 controladas por atacantes.
El impacto es extorsionador: las víctimas reciben correos electrónicos (incluso a través del propio SES de la víctima) en los que se detallan los datos robados y se les exige un pago; la presión pública se amplifica a través de los medios de comunicación y las publicaciones en sitios de filtraciones por parte de grupos aliados.
TTPs Crimson Collective
Cómo detectar Crimson Collective con Vectra AI
Preguntas frecuentes
¿Es el Crimson Collective un grupo de ransomware?
Crimson Collective es un grupo de extorsión, no utilizan ransomware para cifrar los datos. Su juego principal es el robo de datos + extorsión ("doble extorsión" sin casillero).
¿Cuál es su primer movimiento dentro de AWS?
Validan claves a largo plazo filtradas con TruffleHog; CloudTrail muestra GetCallerIdentity con un user-agent TruffleHog, seguido de intentos de crear usuarios IAM y claves de acceso.
¿Cómo escalan privilegios?
Conectando AWS managed AdministradorAcceso a usuarios recién creados (AdjuntarUserPolicy). Si están bloqueados, sondean los permisos efectivos con SimularPolíticaPrincipal.
¿Qué datos valoran más?
Bases de datos en vivo (RDS), contenido de volúmenes EBS, buckets S3 y código fuente / artefactos de compromiso similares a CER que revelan detalles del entorno y tokens de acceso. (Red Hat confirma el acceso al GitLab de consultoría; el alcance de la exposición CER sigue siendo reclamado por el actor).
¿Cómo se organizan y filtran los datos?
RDS → CreateDBSnapshot + StartExportTask a S3; EBS → Crear instantánea se adjuntan a EC2 controlado por el atacante; S3 → GetObject para cogerlo directamente.
¿Influyen en el correo electrónico/SMS?
Enumeran las cuotas de SES/SNS y podrían utilizarlas indebidamente para el envío de extorsiones o spam desde el entorno de la víctima.
¿Qué contención inmediata debemos aplicar en caso de sospecha?
Revoque cualquier clave AWS a largo plazo; deshabilite/rote las entidades de seguridad comprometidas; bloquee los IOC que compartió; ponga en cuarentena los usuarios IAM y las claves de acceso creadas por el atacante; detenga el tráfico en vuelo. StartExportTaskBloquea las políticas de los cubos de S3, haz instantáneas forenses y rota las credenciales de los maestros de bases de datos. (Buenas prácticas generales alineadas con los informes de incidentes).
¿Cómo endurecerse contra los intentos repetidos?
Elimine las claves de usuario a largo plazo en favor de credenciales de rol de corta duración; aplique el privilegio mínimo; restrinja el acceso a la consola/API por IP de origen/puntos finales de VPC; active GuardDuty, consultas de lago CloudTrail y alertas de anomalías de presupuesto/CUR; escanee repos y almacenes de objetos en busca de secretos (TruffleHog/GGShield et al.) y bloquee con pre-commit/CI.
¿Están relacionados con "HuntersScattered Lapsus$ "?
Los informes sugieren coordinación/asociación (por ejemplo, amplificación de la extorsión y filtraciones), pero la profundidad operativa no está firmemente establecida; trátese como adyacencia al ecosistema más que como mando y control probado.
¿Está Crimson Collective vinculado a The Com?
Dado que Crimson Collective se asocia con Scattered Lapsus$ Hunters, podemos argumentar que podrían formar parte de su comunidad más amplia llamada The Com.