Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Группа Hellcat: Программа-вымогатель, угроза для критически важных секторов

3
2 мин
С начала 2024 года группа программ-вымогателей Hellcat стала заметной угрозой для кибербезопасности, нацелившись на критически важные отрасли, такие как правительство, образование и энергетика. Уникальной особенностью Hellcat является использование агрессивных тактик, основанных как на шифровании данных, так и на психологических манипуляциях. Группа применяет модель «Программа-вымогатель как услуга» (RaaS), что позволяет ей расширять свои действия через привлечение партнёров. Основные этапы атак включают: После начала атаки Hellcat развертывает многоэтапную цепочку заражения с использованием PowerShell. Этот процесс включает: Развертывание командно-управляющей платформы SliverC2 происходит через полезную нагрузку в виде шеллкода, что предоставляет злоумышленникам постоянный доступ к уязвимым системам. Для повышения привилегий и перемещения по сети Hellcat эффективно использует бинарные файлы, такие как Netcat и Netscan. Важно отметить, что: По мере развития Hellcat группа динамично кор
Оглавление

С начала 2024 года группа программ-вымогателей Hellcat стала заметной угрозой для кибербезопасности, нацелившись на критически важные отрасли, такие как правительство, образование и энергетика. Уникальной особенностью Hellcat является использование агрессивных тактик, основанных как на шифровании данных, так и на психологических манипуляциях.

Стратегия атак Hellcat

Группа применяет модель «Программа-вымогатель как услуга» (RaaS), что позволяет ей расширять свои действия через привлечение партнёров. Основные этапы атак включают:

  • Двойное вымогательство: извлечение конфиденциальных данных перед шифрованием и угроза их публичного раскрытия.
  • Использование уязвимостей нулевого дня, таких как недавно обнаруженная уязвимость в Atlassian Jira.
  • Инициирование атак с помощью фишинга и эксплуатация общедоступных приложений.

Цепочка заражения и методы избегания обнаружения

После начала атаки Hellcat развертывает многоэтапную цепочку заражения с использованием PowerShell. Этот процесс включает:

  • Создание постоянной защиты через изменения в реестре Windows.
  • Подключение к инфраструктуре злоумышленника для загрузки дополнительных полезных данных.
  • Использование методов, позволяющих избежать обнаружения, таких как отражающая загрузка кода и обходной интерфейс проверки на наличие вредоносных программ (AMSI).

Развертывание командно-управляющей платформы SliverC2 происходит через полезную нагрузку в виде шеллкода, что предоставляет злоумышленникам постоянный доступ к уязвимым системам.

Перемещение по сети и дальнейшие действия

Для повышения привилегий и перемещения по сети Hellcat эффективно использует бинарные файлы, такие как Netcat и Netscan. Важно отметить, что:

  • Злоумышленники извлекают конфиденциальную информацию с помощью SFTP и облачных сервисов.
  • Все действия происходят перед непосредственным шифрованием систем.

Ответные меры и перспективы

По мере развития Hellcat группа динамично корректирует свои инструменты и методы, постоянно адаптируясь, чтобы избежать обнаружения системами безопасности. Эта адаптивность подчеркивает постоянную угрозу, исходящую от Hellcat и подобных программ-вымогателей, что требует от организаций надежных стратегий защиты.

Разработки в области безопасности, такие как Symantec Adaptive Protection, направлены на совершенствование механизмов защиты от таких быстро развивающихся угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Группа Hellcat: Программа-вымогатель, угроза для критически важных секторов".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.