Wer den Schaden hat, braucht für den Spott nicht zu sorgen. shutterstock.com – Linguist Die Ransomware-Gruppe Hellcat wurde bekannt durch den Angriff auf Schneider Electric, in dem sie Baguettes im Wert von 125.000 Dollar als Lösegeld forderte. Doch dieses aufsehenerregende Verbrechen ist nicht die einzige kriminelle Aktivität der Bande. Seit Mitte 2024 nutzt die Gruppe erfolgreich doppelte Erpressung, indem sie zuerst Daten stiehlt und dann deren Veröffentlichung androht. Besonders auffällig sind ihre Ziele und ihr Hang zur Demütigung der Opfer, denn Daten sowie Zugänge werden zu Preisen angeboten, die deutlich unter denen klassischer Erpressung liegen. Unterschiedliche Opfer, gleiche Taktiken Zu den von Hellcat häufig verwendeten Taktiken, Techniken und Verfahren (TTPs) gehört es, Zero-Day-Schwachstellen in Unternehmens-Tools auszunutzen, um an ihre Beute zu gelangen. Über diese Einstiegspunkte ist es den Kriminellen dann möglich, auf die Infrastruktur des Unternehmens zuzugreifen. Im Falle von Schneider Electric geschah dies über einen zuvor unbekannten Fehler im Atlassian Jira-System. Die dabei gestohlenen 40 GB Daten wollte die Gruppe im Austausch gegen Baguettes wieder freigeben. Gleichzeitig ist die Gruppe auch in anderen Ländern und Kontinenten unterwegs. So behauptete Hellcat noch am selben Tages des Einbruchs bei Schneider Electric, sensible Dokumente des jordanischen Bildungsministeriums kompromittiert zu haben. Darüber hinaus gaben die Verbrecher an, über 500.000 Datensätze des College of Business in Tansania veröffentlicht zu haben. Hierbei soll es sich um persönliche und finanzielle Daten von Studenten, Lehrkräften und Mitarbeitern handeln. Wertvolle Beute für kleines Geld Ebenfalls im Dezember 2024 listete die Gruppe dann ein französisches Energieversorgungsunternehmen im Wert von 7 Milliarden Dollar im Dark Web als Opfer. Hier versuchte die Gruppe, den Root-Zugriff auf einen Server für 500 Dollar zu verkaufen. Später im selben Monat bot die Gruppe auch den Root-Zugang zu einer US-Universität mit einem Umsatz von über 5,6 Milliarden Dollar zum Verkauf an. Der Root-Zugriff auf einen Universitätsserver sollte hier „nur“1.500 Dollar kosten. Diese Strategie, wertvolle Daten und Zugriffe für Geldsummen anzubieten, die deutlich unter dem eigentlichen Wert der Beute liegen, ist Teil der Strategie von Hellcat. Opfer sollen durch die niedrigen Preise zum einen gedemütigt und zum anderen zum Handeln gedrängt werden. Das es hierbei nicht immer um monetäre Bereicherung gehen muss, zeigt ein anderes Beispiel aus dem Nahen Osten. Dort bot die Gruppe für gerade einmal 300 Dollar einen Root-Zugang zu den Servern einer irakischen Stadtregierung an. Ziel sei es hier, kritische öffentliche Dienste zu stören, so Experten. Gehackt werden ist schon schlimm genug Ebenfalls im November setzte Hellcat Pinger, US-Mobilfunkanbieter und App-Entwickler, auf die Liste seiner Opfer. Die Täter behaupteten, 111 GB an Daten gestohlen zu haben, darunter 9 Millionen Benutzerdatensätze, private Nachrichten, Sprachnachrichten, Backend-Systeme, interne Tools und Quellcodes. Sie drohten damit, alle Daten freizugeben, wenn das Unternehmen nicht zahlt. Die Gruppe scheint nur in ausgewählten Fällen öffentlichkeitswirksam ihren Opfern Sonderkonditionen anzubieten. In Bezug auf die US-amerikanischen Geschädigten sind solche nicht bekannt. Wie viele der aufstrebenden Cybercrime-Organisationen nutzt Hellcat ein Ransomware-as-a-Service-Geschäftsmodell. Hierbei bieten die Kriminellen Infrastruktur, Verschlüsselungs-Tools und andere Malware an Partner im Austausch für einen Teil des Gewinns an. Laut Experten sollen die Hauptakteure hochrangige Mitglieder des BreachForum sein.
Baguette-Banditen schlagen wieder zu (- mit Ransomware und Hohn)
Wer den Schaden hat, braucht für den Spott nicht zu sorgen. shutterstock.com – Linguist Die Ransomware-Gruppe Hellcat wurde bekannt durch den Angriff auf Schneider Electric, in dem sie Baguettes im Wert von 125.000 Dollar als Lösegeld forderte. Doch dieses aufsehenerregende Verbrechen ist nicht die einzige kriminelle Aktivität der Bande. Seit Mitte 2024 nutzt die Gruppe erfolgreich doppelte Erpressung, indem sie zuerst Daten stiehlt und dann deren Veröffentlichung androht. Besonders auffällig sind ihre Ziele und ihr Hang zur Demütigung der Opfer, denn Daten sowie Zugänge werden zu Preisen angeboten, die deutlich unter denen klassischer Erpressung liegen. Unterschiedliche Opfer, gleiche Taktiken Zu den von Hellcat häufig verwendeten Taktiken, Techniken und Verfahren (TTPs) gehört es, Zero-Day-Schwachstellen in Unternehmens-Tools auszunutzen, um an ihre Beute zu gelangen. Über diese Einstiegspunkte ist es den Kriminellen dann möglich, auf die Infrastruktur des Unternehmens zuzugreifen. Im Falle von Schneider Electric geschah dies über einen zuvor unbekannten Fehler im Atlassian Jira-System. Die dabei gestohlenen 40 GB Daten wollte die Gruppe im Austausch gegen Baguettes wieder freigeben. Gleichzeitig ist die Gruppe auch in anderen Ländern und Kontinenten unterwegs. So behauptete Hellcat noch am selben Tages des Einbruchs bei Schneider Electric, sensible Dokumente des jordanischen Bildungsministeriums kompromittiert zu haben. Darüber hinaus gaben die Verbrecher an, über 500.000 Datensätze des College of Business in Tansania veröffentlicht zu haben. Hierbei soll es sich um persönliche und finanzielle Daten von Studenten, Lehrkräften und Mitarbeitern handeln. Wertvolle Beute für kleines Geld Ebenfalls im Dezember 2024 listete die Gruppe dann ein französisches Energieversorgungsunternehmen im Wert von 7 Milliarden Dollar im Dark Web als Opfer. Hier versuchte die Gruppe, den Root-Zugriff auf einen Server für 500 Dollar zu verkaufen. Später im selben Monat bot die Gruppe auch den Root-Zugang zu einer US-Universität mit einem Umsatz von über 5,6 Milliarden Dollar zum Verkauf an. Der Root-Zugriff auf einen Universitätsserver sollte hier „nur“1.500 Dollar kosten. Diese Strategie, wertvolle Daten und Zugriffe für Geldsummen anzubieten, die deutlich unter dem eigentlichen Wert der Beute liegen, ist Teil der Strategie von Hellcat. Opfer sollen durch die niedrigen Preise zum einen gedemütigt und zum anderen zum Handeln gedrängt werden. Das es hierbei nicht immer um monetäre Bereicherung gehen muss, zeigt ein anderes Beispiel aus dem Nahen Osten. Dort bot die Gruppe für gerade einmal 300 Dollar einen Root-Zugang zu den Servern einer irakischen Stadtregierung an. Ziel sei es hier, kritische öffentliche Dienste zu stören, so Experten. Gehackt werden ist schon schlimm genug Ebenfalls im November setzte Hellcat Pinger, US-Mobilfunkanbieter und App-Entwickler, auf die Liste seiner Opfer. Die Täter behaupteten, 111 GB an Daten gestohlen zu haben, darunter 9 Millionen Benutzerdatensätze, private Nachrichten, Sprachnachrichten, Backend-Systeme, interne Tools und Quellcodes. Sie drohten damit, alle Daten freizugeben, wenn das Unternehmen nicht zahlt. Die Gruppe scheint nur in ausgewählten Fällen öffentlichkeitswirksam ihren Opfern Sonderkonditionen anzubieten. In Bezug auf die US-amerikanischen Geschädigten sind solche nicht bekannt. Wie viele der aufstrebenden Cybercrime-Organisationen nutzt Hellcat ein Ransomware-as-a-Service-Geschäftsmodell. Hierbei bieten die Kriminellen Infrastruktur, Verschlüsselungs-Tools und andere Malware an Partner im Austausch für einen Teil des Gewinns an. Laut Experten sollen die Hauptakteure hochrangige Mitglieder des BreachForum sein.
Baguette-Banditen schlagen wieder zu (- mit Ransomware und Hohn) Wer den Schaden hat, braucht für den Spott nicht zu sorgen. shutterstock.com – Linguist Die Ransomware-Gruppe Hellcat wurde bekannt durch den Angriff auf Schneider Electric, in dem sie Baguettes im Wert von 125.000 Dollar als Lösegeld forderte. Doch dieses aufsehenerregende Verbrechen ist nicht die einzige kriminelle Aktivität der Bande. Seit Mitte 2024 nutzt die Gruppe erfolgreich doppelte Erpressung, indem sie zuerst Daten stiehlt und dann deren Veröffentlichung androht. Besonders auffällig sind ihre Ziele und ihr Hang zur Demütigung der Opfer, denn Daten sowie Zugänge werden zu Preisen angeboten, die deutlich unter denen klassischer Erpressung liegen. Unterschiedliche Opfer, gleiche Taktiken Zu den von Hellcat häufig verwendeten Taktiken, Techniken und Verfahren (TTPs) gehört es, Zero-Day-Schwachstellen in Unternehmens-Tools auszunutzen, um an ihre Beute zu gelangen. Über diese Einstiegspunkte ist es den Kriminellen dann möglich, auf die Infrastruktur des Unternehmens zuzugreifen. Im Falle von Schneider Electric geschah dies über einen zuvor unbekannten Fehler im Atlassian Jira-System. Die dabei gestohlenen 40 GB Daten wollte die Gruppe im Austausch gegen Baguettes wieder freigeben. Gleichzeitig ist die Gruppe auch in anderen Ländern und Kontinenten unterwegs. So behauptete Hellcat noch am selben Tages des Einbruchs bei Schneider Electric, sensible Dokumente des jordanischen Bildungsministeriums kompromittiert zu haben. Darüber hinaus gaben die Verbrecher an, über 500.000 Datensätze des College of Business in Tansania veröffentlicht zu haben. Hierbei soll es sich um persönliche und finanzielle Daten von Studenten, Lehrkräften und Mitarbeitern handeln. Wertvolle Beute für kleines Geld Ebenfalls im Dezember 2024 listete die Gruppe dann ein französisches Energieversorgungsunternehmen im Wert von 7 Milliarden Dollar im Dark Web als Opfer. Hier versuchte die Gruppe, den Root-Zugriff auf einen Server für 500 Dollar zu verkaufen. Später im selben Monat bot die Gruppe auch den Root-Zugang zu einer US-Universität mit einem Umsatz von über 5,6 Milliarden Dollar zum Verkauf an. Der Root-Zugriff auf einen Universitätsserver sollte hier „nur“1.500 Dollar kosten. Diese Strategie, wertvolle Daten und Zugriffe für Geldsummen anzubieten, die deutlich unter dem eigentlichen Wert der Beute liegen, ist Teil der Strategie von Hellcat. Opfer sollen durch die niedrigen Preise zum einen gedemütigt und zum anderen zum Handeln gedrängt werden. Das es hierbei nicht immer um monetäre Bereicherung gehen muss, zeigt ein anderes Beispiel aus dem Nahen Osten. Dort bot die Gruppe für gerade einmal 300 Dollar einen Root-Zugang zu den Servern einer irakischen Stadtregierung an. Ziel sei es hier, kritische öffentliche Dienste zu stören, so Experten. Gehackt werden ist schon schlimm genug Ebenfalls im November setzte Hellcat Pinger, US-Mobilfunkanbieter und App-Entwickler, auf die Liste seiner Opfer. Die Täter behaupteten, 111 GB an Daten gestohlen zu haben, darunter 9 Millionen Benutzerdatensätze, private Nachrichten, Sprachnachrichten, Backend-Systeme, interne Tools und Quellcodes. Sie drohten damit, alle Daten freizugeben, wenn das Unternehmen nicht zahlt. Die Gruppe scheint nur in ausgewählten Fällen öffentlichkeitswirksam ihren Opfern Sonderkonditionen anzubieten. In Bezug auf die US-amerikanischen Geschädigten sind solche nicht bekannt. Wie viele der aufstrebenden Cybercrime-Organisationen nutzt Hellcat ein Ransomware-as-a-Service-Geschäftsmodell. Hierbei bieten die Kriminellen Infrastruktur, Verschlüsselungs-Tools und andere Malware an Partner im Austausch für einen Teil des Gewinns an. Laut Experten sollen die Hauptakteure hochrangige Mitglieder des BreachForum sein.