A nova operação de ransomware 'Helldown' é acreditada por visar vulnerabilidades em firewalls da Zyxel para invadir redes corporativas, permitindo-lhes roubar dados e criptografar dispositivos.
A empresa francesa de cibersegurança Sekoia está relatando isso com média confiança baseada em observações recentes de ataques do Helldown.
Embora não esteja entre os maiores atores no espaço do ransomware, o Helldown cresceu rapidamente desde o seu lançamento durante o verão, listando numerosas vítimas em seu portal de extorsão de dados.
O Helldown foi documentado pela primeira vez pela Cyfirma em 9 de agosto de 2024, e então novamente pela Cyberint em 13 de outubro, ambos descrevendo brevemente a nova operação de ransomware.
O primeiro relatório de uma variante Linux do ransomware Helldown visando arquivos VMware veio do pesquisador de segurança da 360NetLab, Alex Turing, em 31 de outubro.
A variante Linux possui código para listar e finalizar VMs para criptografar imagens, no entanto, suas funções são apenas parcialmente invocadas, indicando que ainda pode estar em desenvolvimento.
A Sekoia relata que o Helldown para Windows é baseado no LockBit 3 builder vazado e apresenta similaridades operacionais com Darkrace e Donex.
No entanto, nenhuma conexão definitiva pôde ser feita com base nas evidências disponíveis.
Até 7 de novembro de 2024, o grupo de ameaças listou 31 vítimas em seu portal de extorsão recentemente renovado, principalmente empresas de pequeno e médio porte baseadas nos Estados Unidos e na Europa.
Até hoje, o número diminuiu para 28, potencialmente indicando que alguns pagaram o resgate.
A Sekoia diz que o Helldown não é tão seletivo nos dados que rouba como outros grupos seguindo táticas mais eficientes e publica grandes pacotes de dados em seu site, alcançando até 431GB em um caso.
Uma das vítimas listadas é a Zyxel Europe, uma provedora de soluções de networking e cibersegurança.
Os encriptadores do grupo não parecem muito avançados, com os atores de ameaças utilizando arquivos batch para terminar tarefas em vez de incorporar essa funcionalidade diretamente no malware.
Ao criptografar arquivos, os atores de ameaças gerarão uma string aleatória de vítima, como "FGqogsxF", que será usada como a extensão para arquivos criptografados.
A nota de resgate também usa essa string de vítima em seu nome de arquivo, como "Readme.FGqogsxF.txt".
Seguindo uma pista da Zyxel Europe, a Sekoia descobriu que pelo menos oito vítimas listadas no site do Helldown usavam firewalls da Zyxel como pontos de acesso VPN IPSec no momento de sua brecha.
Em seguida, a Sekoia notou que um relatório da Truesec de 7 de novembro menciona o uso de uma conta maliciosa chamada 'OKSDW82A' em ataques do Helldown e também um arquivo de configuração ('zzz1.conf') usado como parte de um ataque direcionado a dispositivos baseados em MIPS, possivelmente firewalls da Zyxel.
Os atores da ameaça usaram esta conta para estabelecer uma conexão segura via SSL VPN nas redes das vítimas, acessar controladores de domínio, mover-se lateralmente e desligar defesas de endpoint.
Investigando mais a fundo, a Sekoia encontrou relatórios da criação da suspeita conta de usuário 'OKSDW82A' e arquivo de configuração 'zzz1.conf' em fóruns da Zyxel, onde os administradores do dispositivo relataram que estavam usando a versão do firmware 5.38.
Baseando-se na versão, os pesquisadores da Sekoia hipotetizam que o Helldown possa estar usando o
CVE-2024-42057
, uma injeção de comando em IPSec VPN que permite a um atacante não autenticado executar comandos do OS com um longo nome de usuário feito de maneira artesanal no modo User-Based-PSK.
Além disso, a Sekoia também considera uma vulnerabilidade não documentada separada na Zyxel, cujos detalhes compartilhou com o PSIRT do fornecedor.
O
CVE-2024-42057
foi corrigido em 3 de setembro com o lançamento da versão do firmware 5.39, e os detalhes de exploração ainda não foram tornados públicos, então suspeita-se que o Helldown tenha acesso a explorações privadas de n-day.
Ademais, a Sekoia descobriu payloads carregados no VirusTotal da Rússia entre 17 e 22 de outubro, mas o payload estava incompleto.
"Contém uma string codificada em base64 que, quando decodificada, revela um binário ELF para a arquitetura MIPS," explica o pesquisador da Sekoia, Jeremy Scion.
O payload, no entanto, parece estar incompleto.
A Sekoia avalia com média confiança que este arquivo está provavelmente conectado ao comprometimento da Zyxel anteriormente mencionado.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...