Hellcat Ransomware: Raas modeli asosida tashkilotlarga hujumlar ko’paymoqda

Kiberxavfsizlik sohasida yangi va jiddiy tahdid paydo bo‘ldi – bu Hellcat nomli ransomware guruhi. Ushbu guruh Ransomware-as-a-Service (RaaS) modelidan foydalanib, hukumat, taʼlim va energetika kabi muhim sohalarga hujumlar uyushtirmoqda. Hellcat birinchi marta 2024-yilning o‘rtalarida aniqlangan va o‘zining filiallari (affiliates) orqali ransomware vositalari va infratuzilmani taqdim etib, fidye (kiberjinoyatchilar tomonidan qurbonlardan talab qilinadigan pul yoki boshqa toʻlov shakli) ning bir qismini o‘ziga oladi. Ushbu markazlashtirilmagan model guruhga tezda hujumlarni oshirish va yuqori qiymatli tashkilotlarni nishon olish imkoniyatini beradi.

Hellcat guruhi qo‘llaydigan eng xavfli taktika – bu ikki marta qo‘rqitish (double-extortion). Avvalo, ular tizimlarni shifrlashdan oldin nozik maʼlumotlarni o‘g‘irlaydi va fidye (kiberjinoyatchilar tomonidan qurbonlardan talab qilinadigan pul yoki boshqa toʻlov shakli) to‘lanmasa, ushbu maʼlumotlarni ommaga tarqatish bilan tahdid qiladi. CATO Networks tadqiqotchilarining aniqlashicha, guruh shifrlash uchun Windows Cryptographic API dan foydalanadi. Bu esa fayl kengaytmalari yoki metamaʼlumotlarni o‘zgartirmasdan fayl tarkibini shifrlash imkoniyatini beradi. Bu yondashuv tizimning buzilishini minimallashtiradi, bir vaqtning o‘zida qurbonlar ustidan bosimni oshiradi.

Hellcat, shuningdek, kompaniyalar tomonidan ishlatiladigan tizimlardagi zaifliklardan foydalanib, tizimga kirish imkoniyatiga ega bo‘ladi. Masalan, 2024-yil noyabr oyida guruh Schneider Electric kompaniyasining Atlassian Jira tizimiga kirish uchun zero-day zaifligidan foydalangan. Ushbu buzilish natijasida 400 ming qatorni tashkil etgan loyiha fayllari va foydalanuvchi maʼlumotlari kabi 40 GB dan ortiq nozik maʼlumotlar o‘g‘irlangan. Guruh fidyeni Monero kriptovalyutasida 125 000 dollar miqdorida talab qilgan, biroq, Schneider Electric fransuz kompaniyasi boʻlganligi sababli, hakerlar fidyeni hazil tariqasida “baguette” (fransuz noni) deb atashgan.

Hellcatning fayllari boshqa RaaS guruhi – Morpheus tomonidan ishlatiladigan fayllarga juda o‘xshash. Bu ikkala guruhning bir xil infratuzilma yoki kod bazasidan foydalanishini ko‘rsatadi. Ikkala guruh ham tizimning muhim fayllarini shifrlamaydi, balki qurbonlarga yuboriladigan fidye xatlarida ularni toʻlov boʻyicha muzokaralar olib borish uchun .onion portali (Tor tarmogʻidagi maxfiy sayt) manziliga yoʻnaltiradi. Ushbu xatlar bir xil shablon asosida tuzilgan.

Hellcat guruhi butun dunyo bo‘ylab turli sohalarga hujumlar uyushtirgan:

• Schneider Electric: Hakerlar hujum natijasida kompaniyaning nozik operatsion maʼlumotlari va xodimlarning shaxsiy maʼlumotlarini oshkor qilishdi. Kompaniya hakerlarning fidye talabini toʻlashdan bosh tortdi, biroq hakerlar buning uchun ularni ommaviy ravishda masxara qilishga urinishdi.
• Tanzaniya Biznes Taʼlim Kolleji: 2024-yil noyabr oyida Hellcat guruhi kollejning tizimlariga kirib, talabalar va xodimlarning shaxsiy maʼlumotlari, shuningdek, hisob-kitob maʼlumotlarini oʻz ichiga olgan 500 mingdan ortiq yozuvni oʻgʻirladi va bu maʼlumotlarni internetga sizdirdi.
• AQSh Universiteti: Hellcat guruhi qora bozorda (dark web) universitet serverlariga toʻliq kirish huquqini (root access) 1500 dollar evaziga sotishga taklif qildi. Bu holat universitetning talabalar yozuvlari va moliyaviy tizimlari oshkor boʻlish xavfini keltirib chiqardi.
• Iroq Shahar Hukumati: Hellcat guruhi shahar hukumatining serverlariga kirish huquqini atigi 300 dollar evaziga sotishga urindi. Bu hakerlarning davlat xizmatlarini buzish va ularning ishini toʻxtatish niyatini koʻrsatadi.

Bunday tahdidlarga qarshi kurashish uchun tashkilotlar quyidagi choralarni koʻrishlari zarur:

1. Proaktiv xavfsizlik choralari: Faqatgina hujum sodir boʻlgandan keyin emas, balki oldindan profilaktika choralarini koʻrish kerak. Bunga tizimlarni muntazam ravishda yangilash, zaifliklarni tekshirish va ularni bartaraf etish kiradi.
2. Doimiy monitoring: Tarmoq faoliyatini doimiy ravishda kuzatib borish va shubhali harakatlarni vaqtida aniqlash. Bu hujumlarning oldini olish yoki ularni dastlabki bosqichda toʻxtatish imkonini beradi.
3. Qatʼiy kirish nazorati: Tizimlarga kirishni qatʼiy nazorat qilish va faqat ruxsat etilgan foydalanuvchilar va qurilmalarga kirish imkoniyatini berish. Zero Trust kabi yondashuvlardan foydalanish yaxshi natijalar beradi.
4. Xodimlarni oʻqitish: Koʻpincha hakerlar xodimlarning notoʻgʻri harakatlaridan foydalanadi (masalan, phishing hujumlari orqali). Shuning uchun xodimlarni kiberxavfsizlik boʻyicha muntazam ravishda oʻqitish va ularni xavflar haqida xabardor qilish kerak.

Hellcat guruhi Ransomware-as-a-Service (RaaS) modelidan foydalanadi. Bu modelda guruh oʻzining ransomware dasturlari va hujumlarini boshqarish uchun zarur boʻlgan infratuzilmani filiallar (affiliates) ga ijaraga beradi. Filiallar esa ushbu qurollardan foydalanib, hujumlar uyushtiradi va olingan fidyening bir qismini Hellcat guruhiga toʻlaydi. Bu yondashuv hakerlarga yuqori darajadagi hujumlarni amalga oshirishni juda qulay qiladi, chunki ularning oʻzlari texnik jihatdan yuqori malakaga ega boʻlishi shart emas.

Hellcat kabi RaaS guruhlarining faoliyati kiberxavfsizlik mutaxassislari uchun katta muammolarni keltirib chiqaradi. Chunki bu model hakerlarning sonini va hujumlar miqdorini keskin oshirib yuboradi. Bundan tashqari, RaaS platformalari orqali hujumlar tez va samarali tarzda amalga oshiriladi, bu esa ularni aniqlash va oldini olishni qiyinlashtiradi.

Kiberhujumlar dunyosi tobora murakkablashib bormoqda. Hakerlar yangi usullar va texnologiyalardan foydalanishni oʻrganmoqda, ularning hujumlari ancha nozik va kuzatib boʻlmaydigan tarzda amalga oshirilmoqda. Bunga qarshi kurashish uchun tashkilotlar faqatgina muntazam monitoring va qatʼiy xavfsizlik choralariga tayanib, oʻzlarini himoya qilishlari mumkin.

Eslatma: Hellcat kabi RaaS guruhlarining faoliyati kiberxavfsizlik sohasida yangi va jiddiy tahdidlarni keltirib chiqarmoqda. Tashkilotlar ushbu tahdidlarga qarshi kurashish uchun proaktiv yondashuvni qoʻllashlari, tizimlarini doimiy ravishda yangilab turishlari va xodimlarini xabardor qilishlari kerak. Faqatgina shu yoʻl bilan ular kiberhujumlarning oldini olishlari va oʻz maʼlumotlarini himoya qilishlari mumkin.