HELLCAT 勒索软件组织宣称对捷豹路虎(JLR)的重大数据泄露事件负责。此次事件致使大量敏感数据外泄,其中包含专有文档、源代码、员工信息以及合作伙伴详细信息。
该组织的攻击模式与之前针对西班牙电信、施耐德电气和 Orange 等知名企业的攻击如出一辙,都依赖利用受损的员工凭证,尤其是从 Atlassian Jira 实例中获取的凭证。
事件分析
此次泄密事件的核心,是一种愈发有效的攻击技术:先使用信息窃取恶意软件窃取凭证,再凭借这些凭证渗透进企业关键系统。在此次案件中,被泄露的凭证属于一名 LG 电子员工,该员工感染了信息窃取者恶意软件,且有权限访问 JLR 的 Jira 『服务器』。此次攻击导致名为 “Rey” 的威胁行为者泄露了 JLR 的数百份内部文件。
此次泄密事件中发现了该公司数百份内部文件
追踪信息窃取者感染的网络安全公司 Hudson Rock 指出,由于这类感染,数千家公司的 Jira 相关凭证遭到泄露。
Hudson Rock 的网络犯罪情报数据库由超过 30,000,000 台受 Infostealer 感染的计算机组成,显示数千家不同的公司因 Infostealer 感染而泄露了与 Jira 相关的凭证
该公司数据库中有超过 3000 万台受感染计算机,这充分显示出此类威胁的广泛性。
在 Rey 首次发布声明几天后,另一个以 “APTS” 为别名的威胁行为者现身,声称自 2025 年起就利用类似凭证访问 JLR 的系统,这导致了更大规模的数据泄露,估计数据量达 350GB。APTS 分享了 Jira 仪表板的屏幕截图,其中显示了其他敏感数据,并确认所使用的凭据与 Hudson Rock 数据库中的凭据相匹配。
