El proveedor de una familia de ransomware emergente conocida como «Helldown» ha introducido una nueva variante de Linux, dirigida a organizaciones de múltiples industrias que utilizan servidores VMware ESXi.
Varias de las víctimas habían implementado firewalls Zyxel como puntos de acceso VPN IPSec en el momento de la violación, lo que sugiere que los atacantes explotaron una o más vulnerabilidades en la tecnología para obtener acceso inicial, informaron esta semana investigadores de Sekoia. Desde su aparición en agosto, el grupo detrás de Helldown contabilizó rápidamente 31 víctimas, muchas de ellas radicadas en Estados Unidos.
¿Vulnerabilidades de Zyxel no documentadas?
La telemetría disponible sugiere que la falla de Zyxel explotada por los atacantes no está documentada, dijo Seokia. Pero Zyxel lanzó parches para varias vulnerabilidades en sus firewalls después de los actores de Helldown. violó la red de la empresaTambién en agosto se filtraron unos 250 GB de datos. A mediados de noviembre, ningún código de explotación para ninguna de estas vulnerabilidades parecía estar disponible públicamente, dijo Sekoia, dejando abierta la posibilidad de que los atacantes de Helldown explotaran alguna de estas vulnerabilidades.
«Helldown es un nuevo conjunto de intrusiones particularmente activo, como lo demuestra su gran número de víctimas», escribió esta semana el investigador de Sekoia Jeremy Scion. «Los datos disponibles indican que el grupo apunta principalmente a los firewalls Zyxel explotando vulnerabilidades no documentadas». Aunque el ransomware en sí es estándar, lo que hace que el grupo sea peligroso es su aparente acceso y uso efectivo de códigos de vulnerabilidad no documentados, señaló Scion.
Los firewalls Zyxel, como muchas otras tecnologías de red y de borde, son un objetivo popular para los atacantes. Los actores de amenazas se han apresurado a explotar defectos en los productos de la empresa en varias campañas en el pasado, incluida una llamada IZ1H9 que apuntaba a redes de Internet de las cosas (IoT); otro que involucra un variante mirai; y otro que golpeo Infraestructura crítica danesa.
Un cambio inquietante
Patrick Tiquet, vicepresidente de seguridad y arquitectura de Keeper Security, ve Helldown como un cambio preocupante en las tácticas de los actores del ransomware. «Si bien el ransomware dirigido a Linux no tiene precedentes, el enfoque de Helldown en los sistemas VMware muestra que sus operadores están evolucionando para alterar las infraestructuras virtualizadas de las que dependen muchas empresas», dijo. “El mensaje a los equipos de seguridad es claro: parchear vulnerabilidades conocidas, monitorear actividades inusuales y tratar los entornos virtualizados con la misma vigilancia que los entornos tradicionales.
Varios proveedores de seguridad han informado de ataques relacionados con Helldown desde principios de agosto. La mayoría de sus víctimas fueron pequeñas y medianas empresas en diferentes sectores, incluidos transporte, manufactura, atención médica, telecomunicaciones y servicios de TI. Halycón, uno de los primeros en detectar Helldowndescribió al grupo como “muy agresivo” y capaz de causar perturbaciones y pérdidas financieras sustanciales a las víctimas. Según Halycon, los actores de Helldown tienden a robar grandes volúmenes de datos de las víctimas y amenazan con revelarlos a menos que reciban un rescate.
En un informe publicado a principios de este mes, Truesec percibió que el actor de amenazas era mas sofisticado en sus técnicas de compromiso iniciales en comparación con operadores de ransomware más conocidos, como el que está detrás de Akira. En los ataques analizados por Truesec, los actores de amenazas Helldown aprovecharon herramientas legítimas y otras técnicas de subsistencia para llevar a cabo su misión en una red comprometida.
oponente peligroso
«Incidentes recientes han demostrado que el grupo eliminará por completo las herramientas utilizadas durante un compromiso y anulará el espacio libre en el disco duro de diferentes máquinas, en un intento de obstaculizar el proceso de recuperación y reducir la eficiencia del tallado de archivos», observó Trusec. . Los actores de Helldown probablemente accedieron a los entornos de las víctimas directamente desde su firewall Zyxel con acceso a Internet, dijo el proveedor de seguridad. Una vez en la red de la víctima, el actor de amenazas utilizó TeamViewer o el cliente RDP predeterminado de Windows para el movimiento lateral, PowerShell para la ejecución remota de código y Mimikatz para buscar y recuperar credenciales.
Según Sekoia, los informes de varias víctimas de Helldown indican que el atacante comprometió los firewalls de Zyxel que ejecutaban la versión de firmware 5.38. «Específicamente, se descargó un archivo llamado zzz1.conf y se creó una cuenta de usuario llamada OKSDW82A» en los sistemas comprometidos, señaló Scion. Luego, el atacante utilizó la cuenta temporal para crear un túnel VPN SSL para acceder a la red de la víctima y acceder a ella.
La cadena de ataque incluyó intentos por parte del actor de amenazas de desactivar los mecanismos de detección de puntos finales utilizando una herramienta llamada HRSword; aprovechar las credenciales LDAP del controlador de dominio para penetrar más profundamente en la red; utilice certutil para descargar Advanced Port Scanner; utilice RDP o TeamViewer para acceso remoto y movimiento lateral; y utilice PSExec para la ejecución remota de código.
Scion dijo que el análisis de Sekoia de los archivos que los actores de Helldown publicaron en su sitio de filtración de datos mostró que muchos de ellos eran inusualmente grandes, con un promedio de alrededor de 70 GB. De hecho, el archivo más grande pesaba 431 GB, lo cual es notable porque los perpetradores de ransomware generalmente tienden a serlo. más selectivos en los archivos que roban y utilizan para extorsionar. El contenido de los archivos robados también tendía a ser más variable y aleatorio de lo habitual en una operación de ransomware. «El gran volumen y variedad de datos sugiere que el atacante no elige selectivamente qué documentos robar», dijo Scion. «En cambio, parecen apuntar a fuentes de datos que almacenan archivos administrativos, como archivos PDF y documentos escaneados, que normalmente contienen información confidencial (personal, financiera, etc.), intensificando así la presión sobre las víctimas».
El comportamiento de Helldown en sí es similar al de Darkrace, una variante de LockBit que apareció por primera vez en agosto de 2023 y posiblemente pasó a llamarse Donex en febrero de este año. Aunque los vínculos entre las cepas de ransomware no son concluyentes, es posible que Helldown sea una nueva marca de Donex, dijo Sekoia.
