Знакомьтесь, Helldown ransomware!

Попавшая в поле зрения в августе новая банда вымогателей сумела к настоящему времени препарировать более 30 жертв и замечена исследователями Truesec и Sekoia в активном науцеливании на 0-day брандмауэрах Zyxel для доступа к корпоративным системам.

Безусловно, пока что сложно причислить Helldown к основным игрокам на рынке ransomware, но с момента своего запуска банда смогла быстро набрать обороты и пополнить свой DLS.

На начало ноября группа указала 31 жертву, в основном это малые и средние компании из США и Европы. Как заметили ресерчеры, в качестве одной из жертв банда указала Zyxel Europe.

Но на текущий момент их число сократилось до 28, что может указывать на поступления в адрес вымогателей первых траншей выкупа.

Впервые Helldown была задокументирована Cyfirma 9 августа 2024 года, а затем профилирован Cyberint 13 октября.

Отчет о Linux-варианте Helldown, нацеленном на VMware, позже 31 октября выпустили также исследователи 360NetLab.

Он включал функционал для сканирования и завершения работы виртуальных машин с целью шифрования образов, однако его возможности были реализованы лишь частично, что указывает на его активную разработку.

Возвращаясь к Sekoia, исследователи отмечают, что Helldown для Windows основан на слитых исходниках LockBit 3 и имеет некоторые сходства с Darkrace и Donex.

Helldown не так избирательно относится к похищаемым данным, как их другие собратья, придерживающиеся более эффективной тактики.

Банда вываливает на свой DLS большие объемы данных, некоторые из которых достигали 431 ГБ.

Особой техникой шифрования новый субъект не отличается.

При шифровании файлов злоумышленники генерируют случайную комбинацию, которая используется в качестве расширения для зашифрованных файлов конкретной жертвы и нейминга записки о выкупе.

Наличие среди жертв Zyxel Europe насторожило исследователей Sekoia, которые впоследствии идентифицировали еще восемь жертв, использовавших межсетевые экраны указанного вендора в качестве точек доступа IPSec VPN во время инцидента.

Кроме того, Sekoia заметила в отчете Truesec от 7 ноября упоминание про использование вредоносной учетной записи OKSDW82A и файла конфигурации (zzz1.conf) в атаках Helldown, нацеленных на устройства на базе MIPS, возможно, межсетевые экраны Zyxel.

Злоумышленники использовали эту учетную запись для установления защищенного соединения через SSL VPN с сетями жертвы, доступа к контроллерам домена, горизонтального перемещения и отключения защиты конечных точек.

В ходе дальнейшего расследования Sekoia обнаружила сообщения на форумах Zyxel об обнаружении клиентами аналогичной подозрительной учетной записи и конфигурации устройств с прошивкой версии 5.38.

На основании совокупности фактов исследователи предположили, что Helldown может использовать CVE-2024-42057 (внедрение команд в IPSec VPN), которая позволяет выполнять команды ОС без аутентификации с помощью длинного имени пользователя в режиме User-Based-PSK.

Помимо этого Sekoia также рассматривала другую незадокументированную уязвимость в Zyxel, сведениями о которой она поделилась с PSIRT поставщика.

CVE-2024-42057 была исправлена 3 сентября с выпуском прошивки версии 5.39, а подробности ее эксплуатации не были обнародованы, поэтому предполагается, что Helldown имеет доступ к закрытым эксплойтам 0-day.

Sekoia намерена продолжать внимательно следить за новой угрозой.

Технические подробности и IoC - в отчете.

20.11.2024
https://t.me/true_secator/6452​

 

Helldown — новая банда вымогателей, которая активно набирает обороты, но пока вызывает неоднозначные впечатления. Несмотря на быструю адаптацию и использование 0-day уязвимостей в брандмауэрах Zyxel, их инструменты пока кажутся недоработанными, особенно Linux-версия, предназначенная для работы с VMware. Кроме того, зависимость от слитых исходников LockBit 3 ставит под сомнение их уникальность, когда как в игре Мины minesslot.cloud, работает всё чётко. Хотя они уже заявили о 31 жертве, в основном среди малого и среднего бизнеса, их подход к похищению данных выглядит менее продуманным, чем у более опытных конкурентов. Helldown демонстрирует потенциал, но пока рано причислять их к лидерам рынка вымогателей.