【涉我网空威胁预警】近期频繁发布涉我数据的勒索组织Hellcat

Hellcat 是一个新的勒索软件团伙，于 2024 年在暗网论坛上出现。Hellcat 采用勒索软件即服务 （RaaS）的运行模式，向附属公司提供勒索软件工具和基础设施，以换取一部分利润。

根据Bridewell 的研究，Hellcat组织展示了高水平的运营安全性，采用了各种安全通信工具，如 TOX、Session、加密硬盘、air-gapped systems、匿名 VPS、MullvadVPN 和 XMPP 来掩盖他们的活动。     

虽然尚不清楚这些方法在攻击中的具体用途，但它们凸显了该组织在避免被发现方面的纪律和专业知识。此外，Hellcat还利用自定义勒索软件有效载荷来加密数据，以及自定义脚本和 Living-off-the-Land （LotL）二进制文件来躲避溯源。他们独特的渗透策略利用 SFTP 和云服务，进一步展示了他们应对网络入侵的复杂方法。      

值得注意的是，安全专家揭示了Hellcat和 Morpheus使用的勒索软件有效载荷之间存在重大重叠，两个组织以及Underground Team也共享了类似的赎金记录。虽然SentinelOne的分析师在Hellcat和Morpheus有效载荷中发现了几乎相同的代码，但目前尚不清楚这是否指向协作或共享源代码。这两种有效载荷在VirusTotal上也表现出相似的特征，但没有足够的证据来确认这种重叠是否意味着协调或使用通用模板。

Hellcat采用一系列复杂的技术来获得初始访问权限，特别是通过网络钓鱼和利用暴露的面向公众的应用程序。一旦进入，他们就会实施复杂的PowerShell感染链以保持持久性，绕过安全防御，并建立命令和控制通道，从而促进 SliverC2恶意软件的安装和执行。 

Hellcat勒索软件组织因其独特的耻辱性、胁迫性以及全球化野心，使其在勒索软件生态中尤为危险。该组织具有以下显著特征： 

Hellcat在勒索信中融入文化元素和幽默表达，例如曾向施耐德电气（Schneider Electric）索要“法棍”（baguettes）。该组织通过讽刺性言辞和公开声明嘲弄受害者，以进一步施压。

Hellcat 优先攻击高价值目标，包括政府机构、大型企业及关键基础设施。其攻击范围遍及全球，涵盖美国、欧洲、非洲及中东等地区，并重点窃取敏感数据以获取最大谈判筹码。该组织攻击的行业广泛，涉及能源、教育、电信及政府部门等关键领域。

Hellcat 进行深入的前期侦察，利用特定漏洞实施精准攻击。其采用选择性加密策略，以降低被检测的风险并加快攻击进程。

Hellcat 通过公开羞辱受害者来施加心理压力，迫使其尽快支付赎金。该组织采用“双重勒索”模式，即不仅加密文件，还威胁泄露窃取的数据。此外，Hellcat 设置严格的支付期限，并随着时间推移提高赎金金额，以增强威慑力。

品牌塑造：Hellcat 在黑客生态系统中刻意打造独特身份，其泄露网站设计精良，具有较高知名度，同时在暗网论坛上积极招募附属成员。

与多数勒索软件组织不同，Hellcat 采取主动曝光策略，其外部沟通方式经过精心策划，旨在吸引媒体关注，以进一步加大对受害者的施压力度。

在网络安全领域，威胁行为者“ayla”2024年首次提到了一个名为“ICA”的组织，该组织于2024年在BreachForums成立。该组织的成员包括@ayla、@Sukob、@prx以及@Wrenchist。随后，“ICA”进行了更名，转变为HELLCAT组织。根据网络安全公司KELA Cyber Team的调查研究显示，HELLCAT组织的核心成员包括使用化名“Rey”和“Pryx”的两名主要威胁行为者。

Rey（曾用名 "Hikki-Chan"）最早在 2024 年初活跃于 BreachForums，因发布数据泄漏信息和宣称攻击多个高价值目标而迅速引起关注。然而，他所谓的 "独家泄露"（如 VK 和 Kavim 数据泄漏）后来被证实只是对过往泄露数据的重新包装，这在一定程度上损害了他的信誉。尽管如此，他在 2024 年底更名为 “Rey” 并继续活跃于网络犯罪领域，成为 Hellcat 黑客组织的管理者。    

Rey 主要利用 Jira 凭据 作为突破口，获取企业的敏感数据。他近期声称成功攻击了 捷豹（Jaguar）和 Ascom 等企业，并在多个公司内部网络中实现了长期驻留。此外，他在 2024 年 11 月短暂加入了知名暗网论坛 XSS，但在该平台的活动较为有限。

Rey 在 Telegram 和 X（推特） 上保持极具攻击性的网络形象，频繁发布数据泄漏信息、批评电信安全漏洞，并发表极端言论。他的帖子涉及 黑客技术、加密货币诈骗 以及 网络犯罪工具，其中还夹杂着仇恨言论和煽动性内容。从其言论来看，他自称是一名 密码学专家，自 2020 年开始涉足黑客领域，早期专注于 网页篡改（Website Defacement）。        

Rey 声称 不攻击医疗机构，但并未对其他目标设限。他对黑客群体持 犬儒主义（Cynicism）态度，认为自己是一个 冷静且务实的网络犯罪分子，而非“黑客文化”中的理想主义者。      

从 Rey 的行为模式来看，他更倾向于通过社交工程和已泄露数据的再利用 来进行攻击，而非依赖高超的漏洞利用技术。尽管其信誉受到过质疑，但他仍在不断调整策略，并试图在网络犯罪领域维持其影响力。  

网络安全公司KELA 的数据湖分析显示，Rey 曾两次感染信息窃取木马（Infostealer）。在 2024 年 2 月，他的设备感染了 Redline Stealer，而在 3 月，他再次感染 Vidar Stealer。当时，他仍在使用“Hikki-Chan”这一用户名。其中一个被感染的机器人（bot）可能运行在 家庭成员共用的计算机上。

通过追踪该 bot，调查人员发现其关联到一名名叫 Saif 的年轻人（KELA 在博客中隐藏了其全名），其所在地为 约旦安曼。这一发现可能揭示了 Rey 的真实身份及其地理来源。   

进一步分析信息窃取木马的记录后，KELA 发现 Rey 早期的在线化名及活动。在使用 "Hikki-Chan" 之前，他主要在 RaidForums、BreachForums 及其他网络犯罪社区使用 "ggyaf" 和 "o5tdev" 作为用户名。同时，他还在 GitHub、ProtonMail、cock.li 等平台注册了多个账户。    

在 "o5tdev" 这一身份下，Rey 主要专注于 攻击和篡改网站（Website Defacement），这一点也与他此前接受采访时的自述相吻合。在一篇 Pastebin 文章中，他自称为 “巴勒斯坦黑客”，并宣称 “我什么都不怕，只敬畏真主（Allah）”，同时表示自己是 Anonymous Palestine 的一员。     

此外，在 Rey 早期的某个用户名下，他曾提及自己 拥有巴勒斯坦和约旦血统，并且这一身份信息还曾与 爱尔兰产生关联。

Pryx 是一名活跃的网络犯罪分子，自 2024 年 6 月 起，他在多个黑客论坛和社交平台上活动，包括 XSS、BreachForums、Dread、Telegram 和 X（Twitter），并积极参与技术讨论和黑客竞赛。在加入 Hellcat 之前，他主要独立泄露 教育机构 的数据，随后逐步升级至 政府系统，其攻击目标包括 阿联酋、沙特阿拉伯和巴巴多斯。

在扩大攻击范围后，Pryx 开始针对私营企业，并销售基于 AES256 加密的恶意软件（Crypter）。他还运营了个人博客 pryx.pw（原 pryx.cc），用于分享技术内容和黑客工具。

KELA 通过 OSINT 发现 Pryx 活跃于多个 Telegram 群组，并确定其为阿拉伯语使用者。根据 Pryx 本人透露，他自 2018 年 开始从事信用卡欺诈（Carding）活动。此外，Pryx 曾发表 种族主义和反犹太言论，并在其 X 账户上发布针对哈佛大学的炸弹威胁。到 2025 年 2 月，Pryx 开始减少在 Telegram 上的活动，转向 X 作为主要交流平台。 

Pryx 曾积极推广已关闭的 DangerZone 网络犯罪论坛，但他否认自己是该论坛的所有者，而是将其归属于名为 "Sileo" 的个体。KELA 分析认为，"Sileo" 可能是 "Astounding" 的化名，即 BlackForums 的前管理员。        

Pryx 还声称开发了一种“独特的服务器端信息窃取木马”，利用 Tor 网络 在受害者设备上建立隐藏访问点，使攻击者能够远程提取数据。与传统的信息窃取木马不同，该木马通过 攻击者服务器远程操控受害设备，大大减少了数据外传的流量，从而降低被检测的风险。

KELA 对 Pryx 开发的恶意软件源代码进行技术分析后，发现其与 域名 "pato.pw" 存在联系。该网站自称为一个安全研究者平台，提供联系方式、加密货币捐赠选项以及 Tor 地址。然而，KELA 发现该站点 实际由 Pryx 运营。     

值得注意的是，该网站在 2024 年 7 月 23 日 发布了一篇名为 《Silent Tor File-server（新战术？）》 的指南，介绍了一种服务器端窃取技术。该技术与 Pryx 开发的木马高度相似，且文章中的截图与 Pryx 早前为 XSS 论坛竞赛 制作的 YouTube 视频 完全一致。此外，该指南发布在 pato.pw 的时间比 Pryx 在 XSS 论坛分享其技术的时间 早两周，进一步证实了 Pryx 与该网站的关联。

进一步调查发现，pato.pw 关联了一个 GitHub 仓库。该仓库的所有者 曾使用 "patopw" 作为用户名，但后来改名试图隐藏关联。然而，仓库中仍然使用了与 pato.pw 站点相同的电子邮件地址，并且仓库内的一个文件哈希值与 Pryx 之前在 Telegram 上分享的文件完全一致。       

此外，在 2024 年 6 月 30 日 归档的 pato.pw 站点 页面上，指南的作者署名为 “Adem”（KELA 在博客中隐藏了该人的全名）。尽管后来该署名被移除，但 KELA 通过这一身份信息追踪到了一名阿联酋的个人，此人 来自另一个阿拉伯国家，并自称是网络安全专家。

KELA 通过此人的 联系方式 发现，他的设备感染了一种 信息窃取木马（Infostealer），该木马的活动源自 阿联酋。该信息窃取木马的受害者数据进一步暴露了 该个体与网络犯罪分子 Weed/WeedSec 之间的联系。        

KELA 在 X 平台上发现了一个与该个体相关的账户，该账户曾提及 “weedforums.lol”。进一步调查发现，该域名关联了 Telegram 用户 “weedforums”，而此人在 KELA 数据库中的聊天记录表明，他与 Astounding（即 DangerZone 和 BlackForums 的嫌疑管理员） 关系密切。       

此外，进一步分析表明，该 Telegram 用户曾使用 "Adem" 作为化名，这一点与 pato.pw 的作者信息相吻合。这一系列证据表明，Pryx 与 Weed/WeedSec 可能为同一人，或者至少存在密切的联系。

打击 Hellcat 和类似的勒索软件攻击需要多方面的防御。以下是可以提供帮助的缓解策略：

立法要求企业必须报告所有勒索软件攻击事件，禁止无监管的赎金支付，并制定针对性法规，如强制安全审计、数据泄漏通报制度，对安全疏忽的企业进行经济或行政处罚。

对于因安全管理不当导致重大数据泄漏的企业，实施罚款、停业整顿或高管问责，以倒逼企业重视安全建设。

设立企业首席安全官（CISO）岗位，明确高管的安全责任，要求其对安全事件的预防与应对承担直接责任。

建立零信任安全架构（Zero Trust Architecture），确保访问权限严格控制，防止勒索软件横向移动。

强制企业定期进行勒索软件演练，确保一旦发生攻击，企业具备有效的数据恢复与业务连续性计划（BCP），而非依赖支付赎金。

建立全国范围内的勒索软件攻击信息共享平台，让企业能够迅速获知最新的攻击手法、IoC（Indicators of Compromise，入侵指标）和防御建议。

强化与国内外网络安全机构合作，定期发布威胁情报通报，帮助企业提高防御能力。

追踪赎金流向，配合国际执法机构冻结犯罪账户，减少勒索软件组织的经济回报。

针对境内可能的攻击团伙展开打击行动，切断勒索软件的供应链，特别是网络支付、虚拟货币交易所的监管，防止犯罪分子通过数字货币逃避追踪。

优先确保软件、操作系统和固件的及时更新，以修补潜在漏洞，消除攻击入口。所有账户强制启用多因素认证（MFA），增加攻击者窃取凭据的难度。通过网络分段和关键系统隔离，限制横向移动的可能性。对敏感数据进行加密，以防止其在攻击中被窃取和滥用。同时，维护离线备份，并存储在安全位置，以确保遭遇勒索软件攻击后仍可恢复数据。

单一的安全工具可能会导致盲点，使得高级威胁难以检测和拦截。更有效的方法是将多种安全措施整合为统一架构。例如，基于云的安全访问服务边缘（SASE）架构可将 SD-WAN、零信任网络访问（ZTNA）及其他安全组件整合，提供实时威胁监控、集中管控，并实现对所有攻击面的统一保护，包括用户、设备、云环境、物联网（IoT）系统及应用程序等。 

企业还可考虑采用扩展检测与响应（XDR），该技术能够整合端点、云工作负载及电子邮件等安全数据，提供全局威胁态势感知。XDR 可以关联分散的安全告警，识别与 Hellcat 攻击相关的攻击模式，帮助安全团队在勒索软件部署前发现并阻止攻击。   

另一种值得采用的工具是安全信息和事件管理（SIEM）系统结合用户和实体行为分析（UEBA）。该技术可检测异常行为，例如用户账户被劫持或内部威胁，从而在勒索软件发动攻击之前预警潜在风险。

攻击者越来越倾向于使用恐吓、羞辱和最后通牒等胁迫手段，对目标个体施加心理压力。因此，企业必须加强员工安全意识培训，提高危机应对能力，制定完善的安全策略和执行标准，并鼓励跨部门协作与沟通，以减少人为因素导致的安全风险。

勒索软件的泛滥是一个技术问题、管理问题，更是法律和监管问题。如果监管部门不加强干预，企业继续保持消极应对态度，勒索软件攻击将持续威胁国家经济安全。只有通过严格的法规要求、企业安全治理、威胁情报共享和执法打击，才能真正遏制勒索软件的蔓延，让企业摆脱“支付赎金即解决”的短视思维，构建长期稳健的安全防护体系。

hxxps://www[.]kelacyber[.]com/blog/hellcat-hacking-group-unmasked-rey-and-pryx/

hxxps://www[.]forbes[.]com/councils/forbestechcouncil/2025/03/26/decoding-hellcat-the-latest-nightmare-in-ransomware-attackers/

hxxps://socprime[.]com/blog/hellcat-ransomware-detection/

hxxps://www[.]catonetworks[.]com/blog/unmasking-hellcat-not-your-average-ransomware-gang/

原文始发于微信公众号（OSINT情报分析师）：【涉我网空威胁预警】近期频繁发布涉我数据的勒索组织Hellcat