28 Марта 2025 12:46 28 Мар 2025 12:46 |

Поделиться

Хакеры из дерзкой группировки Hellсat стали жертвами собственных троянов-инфостилеров

Дерзкие хакеры

Группировка Hellcat попала в фокус расследования, проведенного компанией KELA, в результате которого были установлены настоящие личности двух ключевых участников — Rey и Pryx. Результаты были опубликованы в конце марта 2025 г. на сайте компании.

Группировка, изначально известная как ICA Group, к концу 2024 г. сменила свое название на Hellcat, что стало отражением ее возросшей организованности и агрессивного подхода к киберпреступлениям. Под новым брендом она быстро приобрела известность благодаря сериям громких ИТ-атак, направленных против крупных корпораций, таких как Schneider Electric, Telefonica и Orange Romania, продемонстрировав свои технические возможности и дерзость.

Активная деятельность в сети

В ноябре 2024 г. хакеры Hellcat похитили данные французской компании Schneider Electric и потребовали в качестве выкупа огромное количество хлеба, а за честность обещали скидку 50%.

По данным Windows Latest, хакеры похитили у крупной французской инженерной группы 40 ГБ данных после успешного проникновения в ИТ-систему фирмы Jira. Учетная запись в X, которая считается причастной к хакерской группе Hellcat, высмеяла Schneider из-за успеха кибератаки, а следующее сообщение в цепочке показывает пример фрагмента данных. Однако более подробная информация о характере и масштабах взлома, а также предложение о выкупе в багетах были опубликованы в даркнете.

Scribble diffusion

Хакеры из группировки Hellсat попались на своих же инфостилерах

Если требования по выкупу не будут выполнены, конфиденциальные данные, включая информацию о проектах компании Schneider , персонал и данные пользователей будут обнародованы. Хакеры отмечают: если компания публично признается в утечке данных, сумму сократят вдвое, то есть до $62 тыс. в багетах, это примерно 29 тыс. хлебных изделий.

Пока неизвестно, удовлетворила ли Schneider условия злоумышленников. Компания опубликовала заявление, в котором точно не указывается масштаб взлома. Bleeping Computer пообщались с хакером, который отметил, что была создана новая хакерская группа под названием ICA. Она не будет требовать деньги от компаний, если они признают взлом в течение 48 часов. Впрочем, позже группа общалась от имени Hellcat.

Разработка админа

Один из ключевых участников Hellcat, известный под ником Rey, начинал свою хакерскую карьеру под псевдонимом Hikki-Chan на форуме Breachforums. Там он публиковал данные, которые представлял как оригинальные утечки, однако позже выяснилось, что часть из них была лишь переработкой уже известных слитых в сеть данных. Этот ИТ-инцидент подорвал его репутацию в сообществе, но не остановил его активности. Сменив никнейм на Rey, он продолжил свою деятельность и со временем занял позицию администратора в Hellcat.

Rey активно использовал ИТ-платформы Telegram и социальную сеть X для продвижения своих действий. Он публиковал утечки данных, выступал с резкой критикой в адрес телекоммуникационных операторов, а также распространял токсичные сообщения и ИТ-инструменты для проведения кибератак. По его собственным заявлениям, он специализировался на криптографии, а его путь в хакерстве начался с дефейсов — взломов веб-сайтов с последующим изменением их содержимого. Одним из его излюбленных методов было использование уязвимостей в ИТ-системе управления проектами Jira, что позволяло ему получать доступ к конфиденциальной корпоративным данным компании.

Исследование компании KELA, специализирующейся на киберразведке, выявило интересные детали о жизни Rey. В начале 2024 г. он дважды становился жертвой заражения инфостилерами Redline и Vidar. Инфостилер — это приложение, которое злоумышленники неизбирательно устанавливают на любые доступные компьютеры для кражи любой полезной информации. Целью инфостилера в первую очередь являются пароли к учетным записям, данные криптокошельков, данные кредитных карт, а также куки из браузера.

Один из таких ИТ-инцидентов указал на то, что зараженный компьютер, вероятно, использовался не только Rey, но и членами его семьи. Этот след привел из исследователей KELA к молодому человеку по имени Саиф (Saif), проживающему в Аммане, Иордания. Предполагается, что именно он скрывается за псевдонимом Rey. Ранее он был активен под никнеймами ggyaf и o5tdev на форумах Raidforums и Breachforums, а также упоминал свою связь с группой Anonymous Palestine, что добавляет еще один слой к его цифровому профилю.

Разработка сообщника

Второй важный участник Hellcat — Pryx — вступил в группировку летом 2024 г. Его путь в киберпреступности начался с относительно скромных утечек данных из образовательных учреждений, но вскоре он переключился на более амбициозные цели. Pryx атаковал государственные ИТ-системы в странах Персидского залива и Карибского бассейна, а затем начал наносить удары по частным компаниям. Помимо этого, он занимался разработкой собственного криптера — ИТ-инструмента для шифрования вредоносного кода, основанного на алгоритме AES256. Также он делился своими знаниями, публикуя подробные руководства на форумах, таких как XSS, и управлял сайтами pryx.pw и pryx.cc, которые служили ИТ-платформами для его деятельности.

Засвет группировки

Исследователи по информационной безопасности (ИБ) KELA установили, что Pryx свободно владел арабским языком и с 2018 г. был вовлечен в кардинг — кражу и использование данных кредитных карт. Его поведение в сети отличалось провокационностью: он публиковал оскорбительные сообщения и даже угрожал терактом Гарвардскому университету. Среди его разработок выделялся серверный стилер, использующий сеть Tor для скрытого доступа к зараженным ИТ-системам. Этот ИТ-инструмент позволял передавать украденные данные на сервер злоумышленника без создания заметных исходящих соединений, что значительно затрудняло его обнаружение.

Технический анализ одного из инструментов Pryx привел исследователей к домену pato.pw. Этот сайт ранее позиционировался как ресурс для специалистов по кибербезопасности, однако совпадения в коде и контенте указали на его связь с Pryx. На pato.pw публиковались инструкции и гайды, которые позже появлялись на форумах под его именем. Дальнейшее расследование выявило репозитории на GitHub и адреса электронной почты, совпадающие с данными из Telegram и других источников. Эти улики указали на человека по имени Адем (Adem), проживающего в Объединенных Арабских Эмиратах (ОАЭ), как на возможную реальную личность Pryx.

Более глубокий анализ также показал связь Pryx с другим хакером, известным как Weed или WeedSec. Через Telegram удалось обнаружить переписку с администратором форума Blackforums, а также совпадения в используемых логинах. Кроме того, имя Адем появлялось в различных контекстах, что укрепило гипотезу о его идентичности как Pryx.

Вывод

Примечательно, что оба участника Hellcat — Rey и Pryx — несмотря на свою техническую подкованность и агрессивный стиль работы, сами стали жертвами тех же инфостилеров, которые они использовали против других. Эта ирония судьбы позволила исследователям из KELA собрать ключевые улики, установить связи между псевдонимами и реальными личностями, а также, возможно, приблизиться к полной деанонимизации одной из самых заметных хакерских группировок последних лет.

Антон Денисенко

Поделиться

Подписаться на новости Короткая ссылка