Pesquisadores de cibersegurança revelaram uma variante Linux de uma cepa de ransomware relativamente nova chamada Helldown, sugerindo que os atores de ameaças estão ampliando seu foco de ataque.
"Helldown implanta ransomware para Windows derivado do código LockBit 3.0," disse Sekoia em um relatório compartilhado.
Dado o recente desenvolvimento de ransomware visando ESX, parece que o grupo pode estar evoluindo suas operações atuais para alvejar infraestruturas virtualizadas via VMware.
Helldown foi documentado publicamente pela primeira vez pela Halcyon em meados de agosto de 2024, sendo descrito como um "grupo de ransomware agressivo" que infiltra redes-alvo explorando vulnerabilidades de segurança.
Alguns dos setores mais visados pelo grupo de cibercrime incluem serviços de TI, telecomunicações, manufatura e saúde.
Como outras equipes de ransomware, o Helldown é conhecido por usar sites de vazamento de dados para pressionar as vítimas a pagar resgates, ameaçando publicar dados roubados, uma tática conhecida como extorsão dupla.
Estima-se que tenha atacado pelo menos 31 empresas em um período de três meses.
Truesec, em uma análise publicada no início deste mês, detalhou cadeias de ataque do Helldown que foram observadas fazendo uso de firewalls Zyxel voltados para a internet para obter acesso inicial, seguidos pelo estabelecimento de persistência, coleta de credenciais, enumeração de rede, evasão de defesa e movimento lateral atividades para, finalmente, implantar o ransomware.
A nova análise da Sekoia mostra que os atacantes estão abusando de falhas de segurança conhecidas e desconhecidas em aparelhos Zyxel para violar redes, utilizando o ponto de apoio para roubar credenciais e criar túneis VPN SSL com usuários temporários.
A versão Windows do Helldown, uma vez lançada, executa uma série de etapas antes de exfiltrar e criptografar os arquivos, incluindo a exclusão de cópias sombra do sistema e o término de vários processos relacionados a bancos de dados e Microsoft Office.
No passo final, o binário do ransomware é excluído para encobrir os rastros, uma nota de resgate é deixada, e a máquina é desligada.
Sua contraparte Linux, segundo a empresa francesa de cibersegurança, carece de mecanismos de ofuscação e anti-depuração, enquanto incorpora um conjunto conciso de funções para buscar e criptografar arquivos, mas não antes de listar e matar todas as máquinas virtuais (VMs) ativas.
"A análise estática e dinâmica não revelou comunicação de rede, nem qualquer chave pública ou segredo compartilhado," ela disse.
Isso é notável, pois levanta questões sobre como o atacante seria capaz de fornecer uma ferramenta de descriptografia.
Terminar VMs antes da criptografia concede ao ransomware acesso de escrita aos arquivos de imagem. No entanto, tanto a análise estática quanto a dinâmica revelam que, embora essa funcionalidade exista no código, ela não é realmente invocada.
Todas essas observações sugerem que o ransomware não é altamente sofisticado e ainda pode estar em desenvolvimento.
Artefatos do Helldown Windows foram encontrados compartilhando semelhanças comportamentais com o DarkRace, que surgiu em maio de 2023 usando código do LockBit 3.0 e posteriormente rebranded para DoNex.
Um decryptor para DoNex foi disponibilizado pela Avast em julho de 2024.
"Ambos os códigos são variantes do LockBit 3.0," disse Sekoia.
Dada a história de rebranding de Darkrace e Donex e suas significativas semelhanças com o Helldown, a possibilidade de Helldown ser outro rebrand não pode ser descartada.
No entanto, essa conexão não pode ser definitivamente confirmada neste estágio.
Esse desenvolvimento ocorre à medida que a Cisco Talos divulgou outra família emergente de ransomware conhecida como Interlock que tem como alvo os setores de saúde, tecnologia e governo nos EUA, e entidades de manufatura na Europa.
É capaz de criptografar tanto máquinas Windows quanto Linux.
Cadeias de ataque distribuindo o ransomware foram observadas usando um binário falso de atualizador do navegador Google Chrome hospedado em um site de notícias legítimo, mas comprometido, que, quando executado, libera um trojan de acesso remoto (RAT) que permite aos atacantes extrair dados sensíveis e executar comandos PowerShell projetados para soltar payloads para coletar credenciais e realizar reconhecimento.
"Em seu blog, o Interlock afirma mirar na infraestrutura das organizações explorando vulnerabilidades não endereçadas e afirma que suas ações são em parte motivadas pelo desejo de responsabilizar as empresas por uma cibersegurança deficiente, além de ganho financeiro," disseram os pesquisadores da Talos.
O Interlock é avaliado como um novo grupo que surgiu a partir dos operadores ou desenvolvedores do Rhysida, acrescentou a empresa, citando sobreposições em técnicas, ferramentas e comportamento do ransomware.
"A possível afiliação do Interlock com operadores ou desenvolvedores do Rhysida se alinharia com várias tendências mais amplas na paisagem de ameaças cibernéticas," ela disse.
Observamos grupos de ransomware diversificando suas capacidades para suportar operações mais avançadas e variadas, e os grupos de ransomware têm se tornado menos isolados, conforme observamos operadores trabalhando cada vez mais ao lado de múltiplos grupos de ransomware.
Coincidindo com a chegada do Helldown e do Interlock está outro novo participante no ecossistema de ransomware chamado SafePay, que alega ter visado 22 empresas até agora.
SafePay, conforme Huntress, também utiliza LockBit 3.0 como sua base, indicando que o vazamento do código-fonte do LockBit gerou várias variantes.
Em dois incidentes investigados pela empresa, "a atividade do ator de ameaça foi encontrada originada de um gateway ou portal de VPN, já que todos os endereços IP observados atribuídos às estações de trabalho do ator de ameaça estavam dentro da faixa interna," disseram os pesquisadores da Huntress.
O ator de ameaça conseguiu usar credenciais válidas para acessar os endpoints do cliente, e não foi observado habilitando RDP, nem criando novas contas de usuário, nem criando qualquer outra persistência.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...