Hellcat, el equipo de ransomware que infectó a Schneider Electric y exigió $ 125,000 en Baguettes, ha dirigido agresivamente las industrias del gobierno, la educación, la energía y otras críticas desde que surgió alrededor de mediados de 2024.
Al igual que muchas de las organizaciones emergentes de cibercrimen, Hellcat utiliza un modelo de negocio de ransomware como servicioOfreciendo infraestructura, herramientas de cifrado y otro malware a los afiliados a cambio de una parte de las ganancias. Sus operadores principales parecen ser miembros de incumplimiento de alto rango (Pdf).
Hellcat también usa tácticas de doble extorsión, al igual que la mayoría de las pandillas de ransomware en estos días. Primero, se divide en las redes de las víctimas y roba sus archivos, luego bloquea los datos y amenaza con filtrar o vender información confidencial si la organización no paga la demanda de extorsión.
Pero lo que hace que este grupo sea especialmente preocupante, según los investigadores de amenazas, es su objetivos de alto perfil y inclinación por humillar a sus víctimas.
Este fue el caso con el noviembre Ataque eléctrico Schneiderdurante el cual los delincuentes afirmaron haber robado 40 GB de datos comprimidos. Antes de filtrar 75,000 direcciones de correo electrónico y nombres completos de los empleados y clientes de Schneider Electric, Hellcat exigió que el gigante de la gestión de energía francés pague $ 125,000 en Baguettes.
La humillación es una táctica psicológica importante aprovechada por Hellcat
La medida estaba destinada a «burlarse aún más de la compañía», el estratega de seguridad jefe de Cato Networks Etay Maor dicho En un informe publicado el martes. «La humillación es una táctica psicológica importante apalancada por Hellcat».
Además, los Crooks obtuvieron acceso a la infraestructura de Schneider Electric a través de un error previamente desconocido en su sistema Atlassian JIRA. Maor también señaló este punto de entrada, explotando vulnerabilidades de día cero en herramientas empresariales, como una de las tácticas, técnicas y procedimientos (TTP) de Hellcat.
Mientras que Schneider Electric confirmó El registro En el momento en que estaba «investigando un incidente de ciberseguridad», nunca se dirigió públicamente a no pagar la masa.
El mismo día que se jactó de la violación eléctrica de Schneider, Hellcat también reclamado Tener documentos confidenciales comprometidos del Ministerio de Educación de Jordania y filtró más de 500,000 registros de la Facultad de Negocios de Tanzania que contiene información personal y financiera que pertenece a estudiantes, profesores y personal.
Más tarde ese mes, el grupo publicó para la venta de acceso a una universidad estadounidense con ingresos superiores a $ 5.6 mil millones. Los extorsionistas ofrecieron acceso raíz a un servidor universitario por el «bajo costo» de $ 1,500.
«Tal acceso podría comprometer los registros de los estudiantes, los sistemas financieros y los datos operativos críticos, lo que potencialmente conduce a daños reputacionales severos y consecuencias legales para la institución», escribió Maor.
El nombre de la universidad nunca salió a la luz, y no sabemos si pagó la demanda de rescate.
También en noviembre, Hellcat Pinger listadouna empresa de telecomunicaciones de EE. UU. Y desarrollador de aplicaciones. Los delincuentes afirmaron haber robado 111 GB de datos, incluidos 9 millones de registros de usuarios, mensajes privados, mensajes de voz, sistemas de backend, herramientas internas y códigos de origen, y amenazaron con liberar todos los datos si la organización no pagaba.
Pinger no respondió de inmediato a El registroLas preguntas, incluso si las afirmaciones de los delincuentes eran ciertas y si el atuendo pagaba el rescate.
Los ataques de Hellcat continuaron en diciembre, con la tripulación enumerando una compañía de distribución de energía francesa de $ 7 mil millones e intentando vender acceso raíz a un servidor por $ 500.
El grupo también anunció el acceso raíz a los servidores de un gobierno de la ciudad de Iraq por $ 300, «enfatizando su intención de interrumpir los servicios públicos críticos», según Maor. ®
