Jira en crisis: oleada de ataques HellCat expone datos corporativos

La empresa suiza de telecomunicaciones Ascom confirmó un ciberataque a su infraestructura de TI. El 16 de marzo, los hackers obtuvieron acceso no autorizado al sistema de tickets técnico. Como parte del incidente, se está llevando a cabo una investigación interna, y las autoridades también están involucradas.

Ascom asegura que el incidente no afectó los procesos comerciales y que los clientes y socios no necesitan tomar medidas adicionales. La responsabilidad del ataque fue asumida por el grupo HellCat, conocido por una serie de hackeos similares a través de vulnerabilidades en Jira. Un miembro del grupo bajo el seudónimo "Rey" informó que los hackers robaron alrededor de 44 GB de datos, incluidos los códigos fuente de productos, documentación del proyecto, facturas y registros confidenciales del sistema de tickets.

El servicio Jira, utilizado para la gestión de proyectos y el seguimiento de tareas en equipos de TI, a menudo contiene información sensible: desde claves de autenticación y código fuente hasta datos de clientes y discusiones internas. Anteriormente, el grupo atacó Schneider Electric, Telefónica y Orange Group, infiltrándose en sus sistemas a través de servidores Jira comprometidos. En estos casos también se utilizaron credenciales robadas de empleados.

Recientemente, HellCat informó sobre un nuevo ataque, esta vez a la automotriz Jaguar Land Rover. En ese caso, los delincuentes robaron y publicaron alrededor de 700 documentos internos, incluidos diarios de desarrollo, códigos fuente y datos personales de empleados. Se utilizaron credenciales antiguas, pero aún activas, de un empleado de LG Electronics, quien tenía acceso al servidor Jira de JLR.

Después de los ataques a Ascom y JLR, los hackers anunciaron la infiltración en el servidor Jira de la empresa de marketing estadounidense Affinitiv, que trabaja con fabricantes de automóviles y redes de concesionarios. Según HellCat, los hackers lograron robar una base de datos con más de 470,000 direcciones de correo electrónico únicas y más de 780,000 registros. Para confirmar el ataque, publicaron capturas de pantalla con nombres, direcciones de correo electrónico y direcciones físicas de los clientes. Affinitiv confirmó el inicio de la investigación.

Este mecanismo de infiltración confirma la táctica típica del grupo HellCat: el uso de inicios de sesión obtenidos a través de infecciones de empleados con infostealers. A pesar de que estas cuentas fueron filtradas hace tiempo, a menudo siguen siendo funcionales porque las empresas no actualizan las contraseñas con regularidad.

Los especialistas señalaron que Jira se está convirtiendo en un objetivo prioritario de los ataques debido a su importancia en los procesos de trabajo y la gran cantidad de datos almacenados. El acceso a Jira puede abrir el camino para moverse dentro de la red corporativa, aumentar privilegios y robar información crítica.