HELLCAT 勒索软件组织宣称对捷豹路虎（JLR）的重大数据泄露事件负责。此次事件致使大量敏感数据外泄，其中包含专有文档、源代码、员工信息以及合作伙伴详细信息。

该组织的攻击模式与之前针对西班牙电信、施耐德电气和 Orange 等知名企业的攻击如出一辙，都依赖利用受损的员工凭证，尤其是从 Atlassian Jira 实例中获取的凭证。

事件分析

此次泄密事件的核心，是一种愈发有效的攻击技术：先使用信息窃取恶意软件窃取凭证，再凭借这些凭证渗透进企业关键系统。在此次案件中，被泄露的凭证属于一名 LG 电子员工，该员工感染了信息窃取者恶意软件，且有权限访问 JLR 的 Jira 服务器。此次攻击导致名为 “Rey” 的威胁行为者泄露了 JLR 的数百份内部文件。

此次泄密事件中发现了该公司数百份内部文件

追踪信息窃取者感染的网络安全公司 Hudson Rock 指出，由于这类感染，数千家公司的 Jira 相关凭证遭到泄露。

Hudson Rock 的网络犯罪情报数据库由超过 30,000,000 台受 Infostealer 感染的计算机组成，显示数千家不同的公司因 Infostealer 感染而泄露了与 Jira 相关的凭证

该公司数据库中有超过 3000 万台受感染计算机，这充分显示出此类威胁的广泛性。

在 Rey 首次发布声明几天后，另一个以 “APTS” 为别名的威胁行为者现身，声称自 2021 年起就利用类似凭证访问 JLR 的系统，这导致了更大规模的数据泄露，估计数据量达 350GB。APTS 分享了 Jira 仪表板的屏幕截图，其中显示了其他敏感数据，并确认所使用的凭据与 Hudson Rock 数据库中的凭据相匹配。

攻击方法

HELLCAT 的作案手法是通过网络钓鱼电子邮件、恶意下载或受感染的网站，悄然感染员工设备。