Das Aufkommen der Crimson Collective Ransomware

Crimson Collective ist eine neu identifizierte Cyber-Bedrohungsgruppe im Bereich Ransomware, die um den September 2025 auftauchte. Während sie oft mit Erpressungen im Ransomware-Stil in Verbindung gebracht wird, konzentriert sich die Gruppe primär auf groß angelegte Datenexfiltration und auf Druckmitteln basierende Angriffe statt auf herkömmliche Dateiverschlüsselung. Ihre Operationen haben nach Behauptungen über eine schwere Sicherheitsverletzung bei Red Hat, bei der sie angeblich auf private Repositories und sensible Kundendaten zugegriffen haben, erhebliche Aufmerksamkeit erregt.

Im Gegensatz zu herkömmlichen Ransomware-Kampagnen, die auf der Verschlüsselung von Systemen und dem Anhängen einer Ransomware-Dateierweiterung basieren, agiert Crimson Collective durch Cloud-Kompromittierung, Missbrauch von Zugangsdaten und Datendiebstahl. Ihr Ansatz spiegelt einen wachsenden Trend in der Cyberkriminalität wider: das Ausnutzen falsch konfigurierter Cloud-Umgebungen und Identitätssysteme, um hochwertige Daten für Erpressungen zu entwenden.

Informationen über „Crimson Collective“

Wie Crimson Collective operiert

Die Operationen von Crimson Collective konzentrieren sich auf Cloud-Umgebungen, insbesondere Amazon Web Services (AWS). Die Gruppe verschafft sich ersten Zugriff, indem sie offengelegte oder durchgesickerte Zugangsdaten identifiziert, wobei sie häufig Tools wie TruffleHog einsetzt, um Repositories nach langlebigen Zugriffsschlüsseln zu durchsuchen.

Sobald gültige Zugangsdaten erlangt wurden, authentifizieren sich die Angreifer in Cloud-Umgebungen und versuchen, Persistenz zu etablieren, indem sie neue Benutzerkonten erstellen und zusätzliche Zugriffsschlüssel generieren. Sofern ausreichende Berechtigungen vorhanden sind, weiten sie den Zugriff aus, indem sie administrative Richtlinien zuweisen, was die volle Kontrolle über die kompromittierte Umgebung ermöglicht.

Von dort aus führt die Gruppe eine umfassende Aufklärung unter Verwendung legitimer Cloud-APIs durch, um die Infrastruktur abzubilden, einschließlich virtueller Maschinen, Speichervolumes, Datenbanken und Netzwerkkonfigurationen. Diese Aktivität fügt sich in normale administrative Vorgänge ein, was die Erkennung besonders schwierig macht.

Es folgt die Datenerfassung, wobei Angreifer Datenbank-Snapshots erstellen, diese in Storage Buckets exportieren und Speichervolumes an von Angreifern kontrollierte Instanzen anhängen. Die letzte Phase umfasst die Exfiltration sensibler Daten – oft einschließlich Repositories, Infrastrukturkonfigurationen und Zugangsdaten – sowie das Stellen von Erpressungsforderungen.

Red Hat-Sicherheitsvorfall und Auswirkungen in der Praxis

Crimson Collective erlangte große Aufmerksamkeit, nachdem sie die Verantwortung für einen Einbruch in die privaten Repositories von Red Hat übernommen hatten. Die Gruppe behauptete, etwa 570 GB an Daten exfiltriert zu haben, darunter über 28.000 Projekte und hunderte Customer Engagement Reports (CERs).

Diese CERs sind besonders sensibel, da sie Infrastrukturdiagramme, Konfigurationsdetails, Authentifizierungs-Token und andere Informationen enthalten können, die für weitere Angriffe gegen Kunden genutzt werden könnten. Die Gruppe veröffentlichte auf Telegram teilweise Beweise für den Einbruch, einschließlich Dateistrukturen und Dokumentproben.

Während Red Hat einen Sicherheitsvorfall bestätigte, der eine Consulting-Umgebung betraf, wurde das Ausmaß der Behauptungen nicht vollständig validiert. Dennoch unterstreicht der Vorfall die erheblichen Risiken im Zusammenhang mit cloudbasierter Datenspeicherung und Consulting-Repositories.

Zusätzliche Informationen

• Crimson Collective zielt primär auf Cloud-Umgebungen ab, indem sie falsch konfigurierte IAM-Rollen und langfristige Zugriffsschlüssel ausnutzen.
• Die Gruppe nutzt legitime Cloud-APIs und -Dienste, wodurch bösartige Aktivitäten schwer von normalen Abläufen zu unterscheiden sind.
• Die Datenexfiltration umfasst Datenbanken, Repositories, Infrastrukturkonfigurationen und potenziell sensible Kundeninformationen.
• Die Erpressung erfolgt über direkte Kommunikation, wobei manchmal die Infrastruktur der Opfer genutzt wird, wie etwa der AWS Simple Email Service (SES).
• Die Gruppe agiert von mehreren IP-Adressen aus und kann mehrere Akteure umfassen, die zusammenarbeiten.
• Es gibt Anzeichen für eine Zusammenarbeit mit anderen Cyberkriminalitätsgruppen wie ShinyHunters und Scattered Lapsus$ Hunters.
• Die Angriffsmethodik entspricht MITRE ATT&CK-Techniken wie dem Missbrauch gültiger Konten, Privilegieneskalation und der Manipulation von Cloud-Infrastrukturen.

Fazit

Crimson Collective repräsentiert eine neue Generation von Cyber-Bedrohungsakteuren, die Cloud-native Techniken für Datendiebstahl und Erpressung nutzen. Durch den Missbrauch legitimer Zugangsdaten und Infrastrukturen umgeht die Gruppe herkömmliche Sicherheitskontrollen und agiert mit hoher Tarnung. Ihre Aktivitäten unterstreichen die Bedeutung eines starken Identitätsmanagements, des Least-Privilege-Zugriffs und einer kontinuierlichen Überwachung in Cloud-Umgebungen.

Unternehmen müssen erkennen, dass moderne Cyber-Bedrohungen nicht mehr auf Malware oder verschlüsselungsbasierte Angriffe beschränkt sind. Datenoffenlegung, Kompromittierung von Zugangsdaten und Cloud-Fehlkonfigurationen stellen heute einige der kritischsten Risiken in der Bedrohungslandschaft dar.

Als Spezialisten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir wesentliche Dienstleistungen wie Ransomware-Wiederherstellungsdienste, Ransomware-Verhandlungsdienste und unseren Incident Response Retainer an. Kontaktieren Sie uns noch heute, um Ihr Unternehmen gegen sich entwickelnde Cyber-Bedrohungen abzusichern.

Zuletzt aktualisiert am: 19. März 2026