Criminelen achter de HellCat-ransomwaregroep maken gebruik van gestolen Jira-inloggegevens om zo allerlei data te stelen en daarmee bedrijven af te persen. Dat laat securitybedrijf HudsonRock weten. De groep plaatste onlangs de namen van vier nieuwe slachtoffers op de eigen website. Volgens de onderzoekers zijn die allemaal gecompromitteerd doordat de inloggegevens voor de gebruikte Jira-installatie door middel van infostealer-malware gestolen kon worden.

Infostealer-malware is malware speciaal ontwikkeld voor het stelen van allerlei inloggegevens van besmette systemen. Atlassian Jira is een ticketsysteem voor het tracken van bugs en andere problemen, alsmede projectmanagement. HudsonRock stelt dat het geen toeval is dat de aanvallers zich op Jira richten, aangezien het een centrale rol speelt binnen enterprise workflows en een grote hoeveelheid gevoelige data kan bevatten. Zodra de aanvallers toegang hebben kunnen ze volgens de onderzoekers zich met "verontrustende eenvoud" lateraal bewegen, rechten verhogen en vitale informatie stelen.

De vier bedrijven komen uit de Verenigde Staten, Zweden en Polen. HudsonRock vond in logbestanden van infostealer-malware gestolen inloggegevens voor de Jira-installaties van de betreffende ondernemingen die vermoedelijk door de aanvallers zijn gebruikt. Organisaties worden aangeraden om multifactorauthenticatie (MFA) voor alle Jira-accounts in te stellen en netwerksegmentatie toe te passen. Verder wordt aangeraden om personeel te onderwijzen.