Švicarski dobavljač telekomunikacijskih rješenja Ascom postao je žrtva sajber napada zloglasne grupe Hellcat ransomware , koji je kompromitovao tehnički sistem prodaje karata kompanije 16. marta 2025. godine.
Napad predstavlja najnoviji u globalnom hakerskom pohodu usmjerenom na Jira servere, pri čemu Hellcat koristi njihovu prepoznatljivu metodu iskorišćavanja kompromitovanih kredencijala za neovlašteni pristup osjetljivoj korporativnoj infrastrukturi.
Prema Reyu, članu Hellcat hakerske grupe koji je komunicirao sa BleepingComputerom, napadači su eksfiltrirali približno 44 GB podataka iz Ascomovih sistema.
Ukradene informacije navodno uključuju izvorni kod za više proizvoda, detalje projekta, fakture, povjerljive dokumente i probleme iz sistema prodaje karata kompanije.
Hellcat Group eksfiltrira 44 GB podataka
Iako je Ascom priznao kršenje, oni tvrde da ostali IT sistemi i korisnička okruženja ostaju nepromijenjeni, a poslovne operacije se nastavljaju kao i obično.
“Istrage protiv ovakvih krivičnih djela su odmah pokrenute i traju. Ascom blisko sarađuje sa nadležnim organima”, navodi se u zvaničnom saopštenju kompanije.
Ascom IT Cybersecurity tim zatvorio je kompromitovani sistem prodaje ulaznica dok je utvrdio puni obim napada.
Hellcat grupa je uspostavila dosljedan obrazac ciljanja Jira servera širom svijeta.
Jira, platforma za upravljanje projektima i praćenje problema koju naširoko koriste programeri softvera i IT timovi, često sadrži osjetljive podatke uključujući izvorni kod, ključeve za autentifikaciju, IT planove, informacije o klijentima i interne diskusije vezane za projekte.
Istraživači sigurnosti su identifikovali Hellcat-ovu tehniku potpisa: iskorištavanje Jira akreditiva prikupljenih od zaposlenika koje je prethodno kompromitovao Infostealer malver .
Hellcat se pojavio kao grupa prijetnji Ransomware-as-a-Service (RaaS) u četvrtom kvartalu 2024. i brzo se etablirao kao značajna prijetnja kibernetičkoj sigurnosti.
Grupa koristi napredne metode početnog pristupa, uključujući phishing kampanje i eksploataciju javnih aplikacija.
Njihov sofisticirani lanac napada uključuje sekvence zaraze PowerShell-om za uspostavljanje postojanosti, tehnika izbjegavanja odbrane i infrastrukture za komandu i kontrolu koja koristi SliverC2 maliciozni softver.
Nedavne žrtve Hellcata uključuju velike korporacije kao što su Schneider Electric, Telefónica, Orange Group i Jaguar Land Rover (JLR) .
U proboju JLR-a, Hellcat je iskoristio kredencijale zaposlenika kompanije LG Electronics koji je imao pristup treće strane JLR-ovom serveru Jira.
Ispitivanje tereta ransomware-a pokazuje da Hellcat dijeli kod sa Morpheus ransomware grupom, koristeći Windows Cryptographic API i BCrypt algoritam za enkripciju.
Oba korisna opterećenja pokazuju neobičnu karakteristiku šifrovanja sadržaja datoteke bez mijenjanja ekstenzija datoteke.
Organizacijama koje koriste Jira sisteme savjetuje se da implementiraju robusne protokole za upravljanje kredencijalima, uključujući redovnu rotaciju lozinki, višefaktorsku autentifikaciju i brzi opoziv pristupa treće strane kada više nije potreban.
Tekuća Hellcat kampanja pokazuje da zastarjeli, ali važeći akreditivi ostaju značajna sigurnosna ranjivost koju sofisticirani hakeri i dalje iskorištavaju.
Izvor: CyberSecurityNews
