Hudson Rock’taki siber güvenlik araştırmacıları, Hellcat Fidye Yazılım Grubu tarafından yeni bir siber saldırı dalgası tespit ettiler, bu kez ABD ve Avrupa’daki dört şirketi hedefliyor. Ortak Konu? Çalınan jira kimlik bilgileri, Infostealer kötü amaçlı yazılım Gerçek ihlaller gerçekleşmeden çok önce.
Kim vuruldu
5 Nisan 2025’te Hellcat, geri sayım zamanlayıcılar ve imzaları ile tamamlanan ihlallerin kanıtlarını sızdırmazlık alanlarına gönderdi. “Jiraware < < 3!!” slogan. Gönderilerine göre, dahili dosyaları, e -postaları ve finansal kayıtları çaldılar ve şirketler taleplerini karşılamıyorsa verileri sızıntı veya satmakla tehdit ediyorlar.
Yeni kurbanlar şunları içerir:
- Asseco Polonya (Polonya) - Başlıca bir BT çözümleri sağlayıcısı
- Highwire Press (ABD) - Bilimsel yayıncılara hizmet veren bir platform
- Racami (ABD) - Müşteri iletişim teknolojisine odaklanan bir firma
- Leovegas Grubu (İsveç) - Çevrimiçi bir oyun ve bahis şirketi
Nasıl girdiler
Hudson Rock's'a göre rapor Hackread.com ile paylaşılan şirket, bu ihlallerin her birini aynı kök nedene kadar takip etti: Infostealer kötü amaçlı yazılım tarafından çalınan Jira kimlik bilgileri. Bu kötü amaçlı yazılım varyantları, Çığlık atmak- Raccoon, RedlineVe Stealer lumenfekte çalışan makinelerinden hasat edilen giriş bilgileri, gerçek saldırılardan aylar önce (bazen yıllar).
Hellcat bu kimlik bilgilerine ellerini aldıktan sonra, her şirketin içine giriş yaptılar. Atlassian Jira Ortamı. Oradan, dahili sistemlerden geçtiler, hassas veriler aldılar ve tipik fidye yazılımı süreçlerini başlattılar.
Bu onlar için yeni bir taktik değil. Hellcat daha önce Jaguar Land Rover, Telefonica, Schneider Electric ve Orange'ı ihlal etmek için aynı yöntemi kullanmıştır. Bu bir desen: Infostealer günlüklerinde kimlik bilgilerini bulun, Jira'ya erişin, verileri dışarı atın ve fidye talep edin.
Ayrıca bir Son rapor Hudson Rock'tan, bazılarının 10 dolar gibi satılan infostalers'ın dünya çapında kritik altyapıyı nasıl tehlikeye attığını da açıkladı. Daha da önemlisi, etkilenen sistemler arasında FBI, Lockheed Martin, Honeywell ve ABD ordusunun şubelerinde çalışan makineleri yer alıyor.
Neden Jira?
Jira bir proje yönetim aracından daha fazlasıdır. Birçok şirkette, geliştirme iş akışlarına, müşteri verilerine, dahili belgelere ve sistem erişim kontrollerine bağlı ana sistemdir. Saldırganlar Jira'ya girebilirlerse, genellikle hemen hemen her şeye girebilirler.
Hellcat gibi fidye yazılımı grupları için onu bu kadar değerli bir hedef yapan da budur. Birçok kuruluş JIRA hesaplarına e -posta veya VPN erişimi ile aynı güvenlik seviyesine sahip olmadığından, saldırganlar için kolay bir kazanç haline gelir.
Daha büyük sorun: Infostealers
Araştırmacılar, Hellcat'in Modus Operandi'nin yalnızca çalıştığına inanıyor çünkü Infostealer kötü amaçlı yazılım kullanıcı cihazlarını enfekte ediyor ve kaydedilmiş girişleri, çerezleri, oturum jetonlarını ve daha fazlasını çalıyor. Veriler ya karanlık web pazarlarında satıldı veya doğrudan Hellcat gibi gruplar tarafından kullanılır.
Hudson Rock'ın 30 milyondan fazla enfekte sisteme dayanan kendi verileri, binlerce şirketin Infostealer günlüklerinde depolanan JIRA ile ilgili kimlik bilgilerine sahip olduğunu gösteriyor. Bu son durumlarda, çalınan kimlik bilgileri orada oturuyordu, taklit edilmemiş ve değişmeden, her zaman ihlali hazırlamak için ihtiyaç duyduğu Hellcat'a veriyordu.
Ne Yapmalı
Şirketlerin böyle saldırılar riskini azaltmak için atabilecekleri bazı adımlar var. İlk olarak, çalınan kimlik bilgilerini kullanılmadan işaretleyebilen araçlar kullanarak infostealer enfeksiyonlarını izlemek önemlidir. Herhangi bir kötü amaçlı yazılım belirtisi ortaya çıkarsa, tehlikeye atılan girişler derhal sıfırlanmalı, incelenmeli ve şüpheli etkinlikler yakından izlenmelidir.
Özellikle JIRA, bir saldırganın içeri girerse ne kadar uzağa gidebileceğini sınırlamak için çok faktörlü kimlik doğrulama, kısıtlı erişim ve uygun ağ segmentasyonu ile kilitlenmelidir. Ve bu enfeksiyonların birçoğu kimlik avı veya kötü indirmelerle başladığından, düzenli çalışan eğitimi onları ilk etapta önlemek için uzun bir yol kat eder.
Yine de, Hellcat kutudan çıkmaz çünkü yapmak zorunda değiller. Kuruluşlar çalınan kimlik bilgilerini kontrolsüz bıraktığı ve Jira gibi araçlar için tek katmanlı kimlik doğrulamasını kullanmaya devam ettikleri sürece, Hellcat gibi gruplar devralmaya devam edecek.