O grupo de ransomware HellCat demonstrou mais uma vez seu foco implacável na exploração de credenciais do Jira roubadas por malware infostealer, visando quatro novas organizações: HighWire Press, Asseco, Racami e LeoVegas Group, segundo relatório da Hudson Rock assinado por Alon Gal. O pesquisador afirma que confirma que as quatro violações decorrem de credenciais comprometidas do Jira coletadas por infostealers, um padrão observado em ataques anteriores do HellCat à Jaguar Land Rover, Telefonica, Schneider Electric e Orange, por exemplo.
Leia também
Atlassian corrige bug crítico no Jira Service Management Server
Ransomware exige resgate de US$ 125 mil em baguetes
Em 5 de abril de 2025, o grupo HellCat publicou dados sobre suas últimas vítimas, exibindo sua tática de assinatura de mirar instâncias do Atlassian Jira com credenciais roubadas. Cada anúncio de violação incluía um cronômetro de contagem regressiva (por exemplo, “12D 18H 35M 1S” para HighWire Press) e uma mensagem da HellCat, assinada com uma tagline de marca registrada “Jiraware < < 3!!”. O grupo alega ter roubado dados confidenciais, incluindo arquivos internos, comunicações e registros financeiros, e está ameaçando vazar ou vender as informações se suas demandas não forem atendidas.
Isso segue o manual estabelecido pelo HellCat, que os pesquisadores da Hudson Rock documentaram extensivamente: obter acesso por meio de credenciais comprometidas do Jira, exfiltrar dados e então extorquir a vítima.
O foco da HellCat no Jira não é coincidência. Conforme observado no artigo anterior da Hudson Rock sobre a violação da Jaguar Land Rover ( fonte ), o Atlassian Jira é um alvo principal para invasores devido à sua centralidade nos fluxos de trabalho corporativos e à riqueza de dados confidenciais que ele abriga. Uma vez lá dentro, agentes de ameaças como o HellCat podem se mover lateralmente, escalar privilégios e extrair informações críticas com facilidade alarmante.
Essas credenciais foram coletadas por infostealers antes dos ataques, dando à HellCat as chaves para a instância Jira de cada organização. A partir daí, o grupo seguiu seu modus operandi usual: exfiltrando dados confidenciais, postando provas da violação em seu site de vazamento e emitindo demandas de resgate com um cronômetro de contagem regressiva.
