Hellcat Ransomware: Атаки на организации по модели RaaS набирают обороты

В сфере кибербезопасности появилась новая серьезная угроза – группа вымогателей под названием Hellcat. Эта группа использует модель Ransomware-as-a-Service (RaaS) для атак на важные секторы, такие как государственные учреждения, образование и энергетика. Hellcat впервые была обнаружена в середине 2024 года и работает через своих партнеров (аффилиатов), предоставляя им инструменты для вымогательства и инфраструктуру в обмен на долю от выкупа. Эта децентрализованная модель позволяет группе быстро масштабировать атаки и нацеливаться на высокоценные организации.

Hellcat использует опасную тактику двойного вымогательства (double-extortion). Сначала злоумышленники похищают конфиденциальные данные, а затем шифруют системы, угрожая опубликовать украденную информацию, если выкуп не будет выплачен. Исследователи из CATO Networks обнаружили, что группа использует Windows Cryptographic API для шифрования, что позволяет шифровать содержимое файлов без изменения их расширений или метаданных. Такой подход минимизирует disruption системы, одновременно усиливая давление на жертв.

Hellcat также использует уязвимости в корпоративных системах для получения доступа. Например, в ноябре 2024 года группа взломала систему Atlassian Jira компании Schneider Electric, воспользовавшись уязвимостью zero-day. В результате утечки было похищено более 40 ГБ конфиденциальных данных, включая файлы проектов и информацию о пользователях, содержащую 400 000 строк. Группа потребовала выкуп в размере 125 000 долларов в криптовалюте Monero, но в шутку назвала сумму «багетом» из-за французского происхождения Schneider Electric.

Файлы Hellcat очень похожи на те, что использует другая группа RaaS – Morpheus. Это указывает на возможное использование общей инфраструктуры или кодовой базы. Обе группы не шифруют критически важные системные файлы и используют шаблонные сообщения с требованиями выкупа, направляя жертв на .onion-сайты (анонимные сайты в сети Tor) для переговоров. Эти сообщения создаются по одному шаблону.

Hellcat атаковала различные секторы по всему миру:

• Schneider Electric: В результате атаки были раскрыты конфиденциальные операционные данные и личная информация сотрудников. Компания отказалась платить выкуп, но хакеры попытались публично высмеять её.
• Колледж бизнес-образования Танзании: В ноябре 2024 года Hellcat похитила более 500 000 записей, содержащих личные и платежные данные студентов и сотрудников, и опубликовала их в интернете.
• Университет в США: Группа предложила полный доступ к серверам университета за 1500 долларов на dark web, что создало риск утечки данных студентов и финансовых систем.
• Городское правительство Ирака: Hellcat предложила доступ к серверам муниципалитета всего за 300 долларов, что свидетельствует о намерении нарушить работу государственных служб.

Для противодействия таким угрозам организациям необходимо принять следующие меры:

1. Проактивные меры безопасности: Регулярно обновлять системы, проверять и устранять уязвимости, особенно в корпоративных инструментах, таких как Jira.
2. Постоянный мониторинг: Наблюдать за сетевой активностью и своевременно выявлять подозрительные действия.
3. Строгий контроль доступа: Использовать подходы, такие как Zero Trust, чтобы ограничить доступ только авторизованным пользователям и устройствам.
4. Обучение сотрудников: Регулярно обучать сотрудников основам кибербезопасности, чтобы предотвратить фишинговые атаки и другие угрозы.

Hellcat использует модель Ransomware-as-a-Service (RaaS), что делает масштабные атаки более доступными для аффилиатов. Это создает серьезные проблемы для специалистов по кибербезопасности, так как количество атак и их сложность быстро растут.

Активность групп, таких как Hellcat, представляет собой новую и серьезную угрозу в мире кибербезопасности. Организации должны применять проактивные подходы, регулярно обновлять свои системы и обучать сотрудников, чтобы защитить себя от кибератак. Только постоянный мониторинг и строгие меры безопасности могут обеспечить надежную защиту в условиях растущей сложности киберугроз.