Программа-вымогатель Helldown атакует корпоративные сети через уязвимости в брандмауэрах Zyxel

Helldown для Windows, по мнению экспертов, основан на утечке исходного кода вымогателя LockBit 3 и имеет схожие операционные черты с такими семействами вредоносного ПО, как Darkrace и Donex. Однако точная связь между ними пока не установлена. Особенностью Helldown является отсутствие избирательности в выборе данных для кражи - злоумышленники публикуют на своем сайте огромные объемы похищенной информации, включая пакеты данных объемом до 431 ГБ.

Шифрование файлов жертв происходит с использованием случайно сгенерированного расширения, которое также фигурирует в файле с требованием выкупа. По данным Sekoia, Helldown может использовать уязвимость CVE-2024-42057 в брандмауэрах Zyxel, связанную с инъекцией команд в IPSec VPN. Эта брешь позволяет злоумышленникам выполнять произвольные команды в операционной системе и закрепляться в корпоративных сетях. После проникновения хакеры создают вредоносные учетные записи, получают доступ к контроллерам домена, перемещаются по сети и отключают защитные механизмы на конечных устройствах.

Интересно, что вредоносная полезная нагрузка, связанная с атаками на Zyxel, была загружена в VirusTotal из России, что может указывать на использование частного эксплойта n-day. Это означает, что злоумышленники могли получить доступ к уязвимости до того, как разработчики выпустили исправление, либо использовали неофициальные методы эксплуатации.

На данный момент на сайте Helldown зафиксировано 31 подтвержденная жертва, среди которых преобладают малые и средние предприятия в США и Европе. Эксперты по кибербезопасности настоятельно рекомендуют организациям, использующим брандмауэры Zyxel, немедленно проверить их на наличие уязвимостей и установить последние обновления. Также важно усилить мониторинг сетевой активности, особенно в части подозрительных подключений и изменений в учетных записях.

Учитывая растущую активность Helldown, компании должны быть готовы к возможным атакам и иметь резервные копии критически важных данных. Специалисты также советуют ограничить доступ к VPN-сервисам и контроллерам домена, чтобы минимизировать риски компрометации. В случае обнаружения подозрительной активности необходимо немедленно обратиться в службы информационной безопасности и, при необходимости, в правоохранительные органы.

Helldown - очередное подтверждение того, что киберпреступники постоянно совершенствуют свои методы, используя как известные, так и новые уязвимости. В условиях растущей цифровизации бизнеса защита корпоративных сетей должна быть приоритетом для каждой организации.

SHA256

• 0bfe25de8c46834e9a7c216f99057d855e272eafafdfef98a6012cecbbdcfabf
• 2621c5c7e1c12560c6062fdf2eeeb815de4ce3856376022a1a9f8421b4bae8e1
• 2b15e09b98bc2835a4430c4560d3f5b25011141c9efa4331f66e9a707e2a23c0
• 3e3fad9888856ce195c9c239ad014074f687ba288c78ef26660be93ddd97289e
• 47635e2cf9d41cab4b73f2a37e6a59a7de29428b75a7b4481205aee4330d4d19
• 67aea3de7ab23b72e02347cbf6514f28fb726d313e62934b5de6d154215ee733
• 6ef9a0b6301d737763f6c59ae6d5b3be4cf38941a69517be0f069d0a35f394dd
• 7731d73e048a351205615821b90ed4f2507abc65acf4d6fe30ecdb211f0b0872
• 7cd7c04c62d2a8b4697ceebbe7dd95c910d687e4a6989c1d839117e55c1cafd7
• 9ab19741ac36e198fb2fd912620bf320aa7fdeeeb8d4a9e956f3eb3d2092c92c
• cb48e4298b216ae532cfd3c89c8f2cbd1e32bb402866d2c81682c6671aa4f8ea
• ccd78d3eba6c53959835c6407d81262d3094e8d06bf2712fefa4b04baadd4bfe