Tập đoàn tống tiền tự xưng Crimson Collective đã nhận trách nhiệm về một vụ rò rỉ dữ liệu quy mô lớn tại Red Hat Consulting. Sự kiện này nhanh chóng thu hút sự chú ý của các chuyên gia bảo mật, đặc biệt khi Red Hat đã xác nhận vi phạm và bắt đầu thông báo cho các khách hàng bị ảnh hưởng. Red Hat Consulting cung cấp dịch vụ kỹ thuật chuyên sâu cho các doanh nghiệp lớn, xử lý các thách thức công nghệ phức tạp.

Diễn Biến Tấn Công và Phạm Vi Rò Rỉ Dữ Liệu

Các bằng chứng ban đầu chỉ ra rằng những kẻ tấn công đã đánh cắp tài liệu khách hàng, mã nguồn và các tài sản nhạy cảm khác. Sự kiện này đã đặt ra nhiều câu hỏi về mức độ an toàn của dữ liệu doanh nghiệp.

Liên Kết Đến Các Nhóm Tấn Công Khác

Nhà nghiên cứu bảo mật Brian Krebs đã ghi nhận rằng tài khoản Telegram “Miku”, có liên quan đến Thalha Jubair – một thiếu niên người Anh bị buộc tội trong các vụ việc của nhóm Scattered Spider và LAPSUS$ – cũng được liên kết với Crimson Collective.

Jubair hiện đang bị tạm giam chờ xét xử vì cáo buộc liên quan đến cuộc tấn công mạng vào Transport for London.

Một điểm đáng chú ý là nạn nhân đầu tiên được Crimson Collective tiết lộ là Claro, một công ty viễn thông từng bị LAPSUS$ nhắm mục tiêu vào năm 2021.

Các ảnh chụp màn hình từ vụ vi phạm cũng cho thấy Vodafone, một công ty khác từng bị LAPSUS$ tấn công vào năm 2022. Điều này củng cố khả năng về một mô hình nhắm mục tiêu vào các nhà cung cấp dịch vụ lớn.

Chi Tiết Về Dữ Liệu Bị Rò Rỉ

Vào ngày 13 tháng 9 năm 2025, ngày vi phạm được nhóm công bố, Crimson Collective bắt đầu tiết lộ bằng chứng thông qua một cổng thông tin có nhiều đặc điểm của LAPSUS$. Các đặc điểm này bao gồm lỗi chính tả cố ý, những bình luận phân biệt chủng tộc trong mã HTML, những câu đùa và thậm chí cả nhạc Pokémon được nhúng trong trang.

Đợt rò rỉ ban đầu bao gồm một cây thư mục hiển thị 370.852 thư mục và 3.438.976 tệp tin. Các báo cáo Engagement Report (CER) mẫu cho bảy tổ chức lớn như AIR, AMEX_GBT, Atos_Group (NHS Scotland), BOC, HSBC và Walmart đã được công bố để chứng minh tính hợp pháp của vụ rò rỉ dữ liệu.

Một đợt phát hành tiếp theo đã cung cấp một tệp ZIP dung lượng 2.2 GB chứa một cây thư mục “chưa từng có” với hơn 32 triệu tệp tin.

Phân tích cấu trúc thư mục cho thấy hơn 5.000 khách hàng doanh nghiệp bị ảnh hưởng, bao gồm các báo cáo tư vấn, mã độc quyền và nhiều tài sản nội bộ khác. Đây là một vụ rò rỉ dữ liệu có phạm vi rất lớn.

Các mục nhạy cảm như chứng chỉ cá nhân .pfx của ING Bank và Delta Airlines cũng nằm trong số các tệp bị rò rỉ. Đây là một chỉ số rõ ràng về mức độ rủi ro cao. Các doanh nghiệp nên giả định rằng tất cả dữ liệu bị đánh cắp có thể bị công khai. Thông tin chi tiết hơn về các nhóm tấn công có thể được tìm thấy tại Brian Krebs’ Blog.

Phản Ứng và Biện Pháp Khắc Phục Sau Sự Cố Rò Rỉ Dữ Liệu

Các tổ chức bị ảnh hưởng phải khẩn trương liên hệ với bộ phận hỗ trợ của Red Hat Consulting để có được danh sách các tệp bị đánh cắp. Điều này là bước đầu tiên và quan trọng nhất để đánh giá toàn diện mức độ rò rỉ dữ liệu.

Hành Động Khẩn Cấp Cho Tổ Chức Bị Ảnh Hưởng

• Xoay vòng chứng chỉ và thông tin xác thực: Thay đổi ngay lập tức tất cả các chứng chỉ và thông tin đăng nhập có nguy cơ bị lộ.
• Rà soát cấu hình bảo mật: Đánh giá và cập nhật các cấu hình bảo mật hiện có để phát hiện và khắc phục các lỗ hổng tiềm ẩn.
• Áp dụng kế hoạch khắc phục toàn diện: Triển khai các biện pháp sửa chữa và phục hồi hệ thống một cách triệt để.

Tăng Cường An Toàn và Giám Sát Liên Tục

Việc trả tiền chuộc không được khuyến khích, vì nó có thể khuyến khích các cuộc tấn công mạng tiếp theo. Giám sát liên tục các bản sao dữ liệu bị đánh cắp được giao dịch trên thị trường đen cũng là yếu tố quan trọng để hạn chế rủi ro sau sự cố rò rỉ dữ liệu.

Red Hat đang chịu áp lực phải củng cố các biện pháp bảo mật thông tin trong các hoạt động tư vấn của mình. Trong khi đó, các tổ chức nên tăng cường kiểm soát nội bộ và chuẩn bị kế hoạch phản ứng sự cố hiệu quả.