Um dos incidentes de segurança mais graves de 2025 atingiu a Red Hat Consulting, braço de serviços corporativos da Red Hat, e expôs dados sigilosos de mais de 5 mil empresas globais.
O ataque foi reivindicado por um grupo recém-surgido chamado Crimson Collective, que rapidamente ganhou notoriedade ao divulgar amostras dos arquivos roubados. A própria Red Hat confirmou a violação poucas horas depois e iniciou a notificação aos clientes afetados.
A Red Hat Consulting oferece serviços de integração, migração e suporte técnico especializado para grandes corporações incluindo instituições financeiras, operadoras de telecomunicações e órgãos públicos.
Os invasores afirmam ter obtido documentação interna, códigos-fonte e certificados digitais privados de clientes de alto valor, o que eleva significativamente o risco de ataques secundários.
Ligações com antigos membros da LAPSUS$
O caso ganhou ainda mais atenção quando o pesquisador Brian Krebs identificou conexões entre o grupo Crimson Collective e antigos membros de coletivos famosos como LAPSUS$ e Scattered Spider.
Um dos perfis ligados ao ataque, o usuário “Miku” no Telegram, teria relação com Thalha Jubair, jovem britânico atualmente aguardando julgamento por envolvimento em ataques anteriores, incluindo o caso da Transport for London.
Coincidentemente, o primeiro alvo listado pelo Crimson Collective foi a operadora Claro, também atacada pelo LAPSUS$ em 2021. Logo depois, surgiram indícios de vazamentos relacionados à Vodafone, outro alvo histórico do mesmo grupo.
Esses paralelos reforçam a suspeita de que ex-membros da LAPSUS$ estão por trás da nova operação.
O vazamento: milhões de arquivos corporativos expostos
Em 13 de setembro de 2025, o grupo divulgou detalhes do ataque, publicando capturas de tela e uma estrutura de diretórios com 370 mil pastas e mais de 3,4 milhões de arquivos.
Entre os documentos estavam Consultancy Engagement Reports (CERs) de sete grandes empresas:
- AIR
- AMEX_GBT
- Atos_Group (NHS Scotland)
- BOC
- HSBC
- Walmart
Para comprovar a autenticidade dos dados, os hackers divulgaram um segundo lote com um arquivo ZIP de 2,2 GB, contendo um índice de mais de 32 milhões de arquivos corporativos.
As análises iniciais indicam que pelo menos 5 mil clientes empresariais foram impactados, abrangendo relatórios de consultoria, código-fonte e arquivos internos da Red Hat e de seus parceiros.
Entre os arquivos mais sensíveis, destacam-se certificados .pfx privados de empresas como ING Bank e Delta Airlines, que podem ser usados para autenticação ou comunicação segura agora comprometidos.
Risco e recomendações para empresas afetadas
Empresas que utilizam os serviços da Red Hat Consulting devem agir rapidamente:
- Solicitar à Red Hat a lista detalhada dos arquivos comprometidos.
- Revogar e substituir certificados digitais e credenciais expostos.
- Verificar logs e acessos recentes para detectar possíveis intrusões secundárias.
- Reforçar políticas de autenticação e revisar as permissões de acesso interno.
- Monitorar a dark web para identificar a venda ou distribuição dos dados roubados.
Autoridades de cibersegurança recomendam não pagar qualquer resgate, pois isso apenas incentiva novos ataques e não garante a exclusão dos dados.
O impacto e o futuro da Red Hat Consulting
Com o vazamento confirmado, a Red Hat enfrenta agora o desafio de restaurar a confiança de seus clientes corporativos e fortalecer a segurança de sua infraestrutura de consultoria.
O episódio também expõe uma fragilidade crescente no setor de serviços de TI sob demanda, que armazena grandes quantidades de informações críticas de terceiros.
Enquanto a investigação continua, empresas e especialistas em segurança reforçam a necessidade de auditorias preventivas, revisão de acessos privilegiados e comunicação transparente com parceiros e clientes.
A Red Hat ainda não confirmou a origem exata do ataque, mas a análise de metadados sugere que o acesso inicial pode ter ocorrido por meio de credenciais comprometidas em um ambiente de colaboração interna.
Red Hat Consulting ataque cibernético
O ataque à Red Hat Consulting não é apenas mais um caso de vazamento corporativo é um lembrete de que qualquer elo digital pode ser explorado, mesmo dentro de empresas que são referência em tecnologia e segurança.
Com dados de grandes corporações expostos, incluindo bancos e redes de varejo globais, a prioridade agora é mitigar danos, reforçar defesas e aprender com o incidente. A pergunta que fica é: quem será o próximo alvo do Crimson Collective?
