Hellcat

Überblick

HellCat ist eine nach dem Ransomware-as-a-Service-Modell organisierte Erpressergruppe. Sie stellt ihre Schadsoftware und Infrastruktur Partnern zur Verfügung, die damit eigene Angriffe durchführen, und erlangte über einen vergleichsweise kurzen Zeitraum erhebliche Bekanntheit durch aufsehenerregende Angriffe. Charakteristisch für die Gruppe ist die Art, wie sie sich den ersten Zugang zu ihren Zielnetzwerken verschafft: Sie nutzt gestohlene Zugangsdaten für Jira-Systeme, die zuvor mithilfe von Infostealer-Schadprogrammen auf kompromittierten Rechnern abgegriffen wurden. Auf diesem Weg gelangt sie ohne aufwendige technische Einbrüche an gültige Anmeldedaten und verschafft sich Zutritt zu internen Projekt- und Verwaltungsumgebungen. Im Fokus der Gruppe stehen vor allem Einrichtungen kritischer Infrastruktur sowie staatliche und behördliche Stellen. Betroffen sind dabei Organisationen unterschiedlicher Branchen und Regionen, was auf ein opportunistisches, an verwertbaren Zugängen orientiertes Vorgehen hindeutet. Der Schwerpunkt auf hochrangige Ziele und der gezielte Missbrauch legitimer Anmeldedaten kennzeichnen das Profil von HellCat.