Группировка Hellcat продолжает атаки на критически важные организации, сочетая вымогательство с насмешками над жертвами. Среди последних атак – взлом Schneider Electric и требование выкупа в виде “125 000 багетов”.
Hellcat действует по модели Ransomware-as-a-Service (RaaS), предоставляя инструменты шифрования и инфраструктуру для кибератак в обмен на часть прибыли. Исследователи связывают группу с высокопоставленными участниками форума BreachForums. Как и другие банды, Hellcat применяет тактику двойного вымогательства: сначала крадёт данные, а затем блокирует системы и угрожает публикацией конфиденциальной информации в случае отказа от выплаты.
Особенностью Hellcat является не только агрессивная тактика, но и стремление унижать жертв. В случае со Schneider Electric злоумышленники утверждали, что похитили 40 ГБ данных, а затем выложили в сеть 75 000 адресов электронной почты и имён сотрудников компании. Требование выкупа в багетах было призвано насмехаться над французским гигантом.
Исследователи Cato Networks установили , что проникновение в Schneider Electric произошло через ранее неизвестную уязвимость в системе Atlassian Jira. Эксплуатация “нулевых дней” в корпоративных системах – один из ключевых приёмов Hellcat.
В тот же день, когда группа объявила о взломе Schneider Electric, она также заявила о компрометации Министерства образования Иордании и утечке 500 000 записей Танзанийского колледжа бизнеса, включая персональные и финансовые данные студентов и сотрудников.
Позднее в ноябре Hellcat выставила на продажу root-доступ к серверу американского университета с годовым доходом более 5,6 млрд долларов. Доступ предлагался за $1500, что открывало любому хакерскому коллективу возможность компрометации студенческих записей, финансовых систем и критически важных данных.
В числе других атак – взлом американской телекоммуникационной компании Pinger. Киберпреступники заявили, что похитили 111 ГБ данных, включая 9 миллионов записей пользователей, личные сообщения, голосовые записи и исходные коды. Судьба выкупа и подлинность заявления пока что остаются под знаком вопрос.
В декабре Hellcat продолжила атаки, включая попытку продать root-доступ к серверу французской энергетической компании за $500 и взлом муниципальной администрации в Ираке. В последнем случае злоумышленники явно целились в критически важную инфраструктуру.
Деятельность Hellcat подтверждает нарастающую угрозу кибервымогательства, при этом тактика публичного унижения жертв делает эту группировку особенно опасной.