Исследователи из компании Sekoia со средней степенью уверенности сообщили, что программа-вымогатель 'Helldown' использует уязвимости в брандмауэрах Zyxel для проникновения в корпоративные сети.
Helldown Ransomware
Helldown, впервые задокументированный в августе 2024 года, быстро растет, указывая множество жертв на своем портале для вымогательства данных. У этой вымогательской программы есть вариант для Linux, который нацелен на файлы VMware, с возможностью перечисления и уничтожения виртуальных машин для шифрования образов, хотя, судя по всему, он находится в стадии разработки. Считается, что Helldown для Windows основан на утечке сборки LockBit 3 и имеет операционное сходство с Darkrace и Donex, однако точная связь не установлена.
Helldown не особенно избирателен в выборе похищаемых данных и публикует на своем веб-сайте большие пакеты данных, один из которых достигает 431 ГБ. Программа использует случайную строку жертвы в качестве расширения для зашифрованных файлов и включает эту строку в имя файла в записке о выкупе. Расследование Sekoia предполагает, что Helldown может использовать CVE-2024-42057, уязвимость инъекции команд в IPSec VPN брандмауэрах Zyxel, для выполнения команд ОС и закрепления в сетях. Как сообщается, злоумышленники используют вредоносную учетную запись для доступа к контроллерам домена, перемещения по сети и отключения средств защиты конечных точек. Полезная нагрузка, связанная с компрометацией Zyxel, была загружена на VirusTotal из России, что указывает на возможность использования частного эксплойта n-day. По последним данным, на портале вымогателей Helldown была указана 31 жертва, в основном малые и средние компании в США и Европе.
Indicators of Compromise
SHA256
- 0bfe25de8c46834e9a7c216f99057d855e272eafafdfef98a6012cecbbdcfabf
- 2621c5c7e1c12560c6062fdf2eeeb815de4ce3856376022a1a9f8421b4bae8e1
- 2b15e09b98bc2835a4430c4560d3f5b25011141c9efa4331f66e9a707e2a23c0
- 3e3fad9888856ce195c9c239ad014074f687ba288c78ef26660be93ddd97289e
- 47635e2cf9d41cab4b73f2a37e6a59a7de29428b75a7b4481205aee4330d4d19
- 67aea3de7ab23b72e02347cbf6514f28fb726d313e62934b5de6d154215ee733
- 6ef9a0b6301d737763f6c59ae6d5b3be4cf38941a69517be0f069d0a35f394dd
- 7731d73e048a351205615821b90ed4f2507abc65acf4d6fe30ecdb211f0b0872
- 7cd7c04c62d2a8b4697ceebbe7dd95c910d687e4a6989c1d839117e55c1cafd7
- 9ab19741ac36e198fb2fd912620bf320aa7fdeeeb8d4a9e956f3eb3d2092c92c
- cb48e4298b216ae532cfd3c89c8f2cbd1e32bb402866d2c81682c6671aa4f8ea
- ccd78d3eba6c53959835c6407d81262d3094e8d06bf2712fefa4b04baadd4bfe
