Группа разработчиков вымогательского ПО под названием Helldown стала довольно активной на преступном рынке в третьем квартале 2024 года. Исследователи Truesec CSIRT столкнулись с инцидентами, связанными с этой группой, и столкнулись с тем, что доступные онлайн ресурсы о тактиках, техниках и процедурах (TTP) группы жизньне приносили результатов.
Helldown Ransomware
В начале своей деятельности группа Helldown не была определена в своих целях, так как их жертвами оказались различные отрасли, включая музеи, компании по грузоперевозкам и производителя сетевого оборудования Zyxel. Они демонстрировали более высокий уровень сложности, чем другие группы вымогателей, и использовали методы "жизни за счет земли", а не структуры C2.
Исследователи Truesec CSIRT обнаружили, что группа Helldown получала доступ через брандмауэры Zyxel. Было замечено, что учетная запись пользователя была создана во время взлома внешнего брандмауэра. Кроме того, группа использовала различные методы для обхода защиты, отключения антивирусного программного обеспечения и перемещения по сети. Само вымогательское ПО, развернутое Helldown, шифровал данные на определенных машинах в сети и потребовало выкупа.
В ходе анализа выполнения вымогателя было обнаружено, что шифровальщик "hellenc.exe" удалял себя с жесткого диска и перезагружал систему, оставляя только метаданные. Хотя записи MFT и $J отсутствовали, были найдены записи Amcache и Shimcache, подтверждающие наличие файла.
Этот блогпост предоставляет важную информацию об ходе расследования инцидентов, связанных с группой вымогателей Helldown. Он подробно описывает технические подробности, такие как первоначальный доступ, настойчивость, доступ к учетным данным и их обнаружение, уклонение от защиты, боковое перемещение и воздействие. Исследователи Truesec CSIRT продолжают обновлять блогпост по мере продвижения расследований и предоставляют информацию о тактиках, техниках и процедурах, используемых группой Helldown.
Indicators of Compromise
SHA1
- 1be0a62694883c4cc30ce7a6358af9953e7b41f4
- 2b88d6e9475fc1e035f8e49ebb5a79d3266eccc0
