2024 yılında karanlık web forumlarında yeni bir fidye yazılımı çetesi olan Hellcat, kritik altyapıyı, hükümet kuruluşlarını, eğitim kurumlarını ve enerji sektörünü hedefleyen ortaya çıktı.
Hizmet Olarak Fidye Yazılımı (RAAS) modelinde çalışan Hellcat, kâr payı karşılığında bağlı kuruluşlara fidye yazılımı araçları ve altyapı sunar.
Grup, kurban uyumluluğunu en üst düzeye çıkarmak için veri hırsızlığını sistem şifrelemesiyle birleştirerek çift gasp tekniklerine dayanmaktadır.
Bu yaklaşım aynı zamanda aşağılama ve kamu baskısı gibi psikolojik taktikleri entegre ederek grubun dikkate değer sofistike olduğunu vurgulamaktadır.
Bir saldırı dalgası
Hellcat’in faaliyeti 2024’ün sonlarında arttı ve sadece 14 Kasım’da üç saldırı bildirildi.
2 Kasım’da Hellcat, bir Fransız enerji şirketi olan Schneider Electric SE’ye sızdı.
Saldırganlar, şirketin JIRA proje yönetim sistemindeki güvenlik açıklarından yararlandı ve 75.000 e -posta adresi ve satır müşteri bilgisi de dahil olmak üzere 40GB’dan fazla hassas veri ekledi.
Çete, şirketin Fransız kökleriyle alay eden “Baget” olarak etiketlenmiş kripto para biriminde 125.000 dolar istedi.
4 Kasım’da Hellcat, Tanzanya İş Eğitim Koleji’ni hedefledi, 500.000’den fazla öğrenci, fakülte ve personel kayıtlarını sızdırdı.
Saldırı, daha önce büyük veri ihlallerinde yer alan bir tehdit aktörü olan “Hikkl-chan” ile işbirliği içinde gerçekleştirildi.
Günler sonra Hellcat, 14 Kasım’da önde gelen bir ABD üniversitesine odaklandı.
Üniversitenin sunucusuna karanlık web forumlarında 1.500 $ karşılığında kök erişim sunan grup, öğrenci kayıtlarına, finansal sistemlere ve kritik operasyonel verilere erişimi tehdit etti.
Sürekli tırmanma
Aralık saldırıları Hellcat’in büyüyen hırslarını sergiledi. Grup, aynı gün 1 Aralık’ta bir Fransız enerji dağıtım şirketini ve bir Irak şehir hükümetini hedef aldı.
Hellcat, Fransız şirketinin sunucularına yıllık 7 milyar dolar değerinde 500 $ karşılığında kök erişimini tanıttı.
Benzer şekilde, kamu hizmetleri için kritik olan Irak hükümet sunucularına kök erişim 300 dolara satıldı.
Bu saldırı, 21.58GB seçmen verisini ortaya çıkaran yılın başlarında bir tedarik zinciri ihlali de dahil olmak üzere Irak’ın dijital altyapısını hedefleme modelini izledi.
Hellcat, Schneider Electric SE saldırısında JIRA gibi kurumsal araçlarda sıfır gün güvenlik açıklarından yararlanmak için gelişmiş TTP’ler kullanır ve yönetici veya kök seviyelerine yönelik ayrıcalıkları artırır.
Güvenlik duvarlarını ve kritik altyapıyı hedefleyerek hasar ölçeğini daha da artırıyorlar.
Grubun çift gasp stratejisi, şifrelemeden önce hassas verileri tehlikeye atarak mağdurlara göre maksimum kaldıraç sağlıyor.
Hellcat’in ortaya çıkışı, fidye yazılımı manzarasında rahatsız edici bir değişimin altını çiziyor.
RAAS ve psikolojik zorlamayı işleyerek grup fidye yazılımı saldırılarının kapsamını ve etkisini genişletti.
Eğitim, hükümet ve enerji dahil olmak üzere yüksek değerli sektörlere odaklanmaları, daha güçlü siber güvenlik önlemleri için aciliyeti vurgulamaktadır.
Kuruluşlar, fidye yazılımı saldırı zincirini bozmak ve Hellcat gibi sofistike aktörlerden gelen tehditleri azaltmak için Cato Sase Cloud gibi proaktif çözümleri benimsemelidir.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin. Run Sandox -> Ücretsiz dene