Cato CTRL威脅研究—Hellcat勒索軟體的崛起與Cato SASE的防禦策略

2024 年，網路安全領域出現新的重大威脅——Hellcat 勒索軟體組織。該組織採用勒索軟體即服務（RaaS）模式，向附屬機構提供攻擊工具，以換取贖金分成。主要目標為政府、教育與能源產業，並透過雙重勒索策略，先竊取機敏數據再加密系統，威脅受害者支付贖金，否則洩露資訊。

Hellcat 的攻擊手法高度精密，利用企業工具漏洞獲取存取權限。例如，2024 年 11 月，該組織透過 零日漏洞入侵施耐德電機的 Atlassian Jira，竊取 40GB 敏感數據，並索取 12.5 萬美元（門羅幣Monero，縮寫：XMR支付）。此類攻擊嚴重影響企業財務與業務連續性。Hallcat也陸續入侵坦尚尼亞商學院及在暗網論壇上發布了出售美國大學伺服器根訪問權限的公告，僅售 1,500 美元「低價」。

Cato Networks 研究發現，Hellcat 使用 Windows 加密 API 來鎖定檔案，而不改變副檔名或元資料，減少系統異常以提高隱蔽性。

Hellcat 的崛起標誌著網路犯罪進一步升級，強化防禦已刻不容緩。企業應透過檢視資訊安全架構提升威脅防禦能力，以應對不斷變化的勒索軟體攻擊。

CATO SASE的保護措施

透過 Cato SASE 雲端平台，運用單一引擎與資安堆疊功能盡快終止勒索軟體攻擊鏈。

• Cato IPS：包含源自眾多威脅情報的數據，可以阻止潛在的勒索軟體，包括
• 存取可能的威脅（例如惡意軟體 C&C、勒索軟體、網路釣魚等）相關的可疑網站
• 疑似試圖傳播勒索軟體的惡意主機
• 廣域網路上的橫向移動流量；運用威脅行為者來實施勒索軟體
• Cato FWaaS：保護使用者免於存取惡意網站（例如惡意軟體類別），因為這些網站可能會意外下載可能包含勒索軟體的惡意負載

Cato NGAM：提供額外的保護層並有助於 Cato ZTNA（零信任網路存取） 這些引擎可以阻止任何惡意下載嘗試，並在相關勒索軟體在用戶裝置上執行之前將其封鎖。

資料來源：Cato CTRL威脅研究