Novo ‘Helldown’ Ransomware expande ataques para sistemas VMware e Linux

Sticky 19/11/2024
ranwomware
Visualizações: 5

Os pesquisadores de segurança cibernética lançaram luz sobre uma variante do Linux de uma cepa de ransomware relativamente nova chamada Helldown, sugerindo que os agentes de ameaças estão ampliando seu foco de ataque.

“Helldown implanta Windows ransomware derivado do código LockBit 3.0,” Sekoia disse em um relatório compartilhado com o The Hacker News. “Dado o recente desenvolvimento de ransomware visando ESX, parece que o grupo poderia estar evoluindo suas operações atuais para atingir infraestruturas virtualizadas via VMware.”

Helldown foi primeiro documentado publicamente por Halcyon em meados de agosto de 2024 descrevendo é como um “grupo de ransomware agressivo” que infiltra segmente redes explorando vulnerabilidades de segurança. Alguns dos setores de destaque visados pelo grupo de cibercrime incluem serviços de TI, telecomunicações, manufatura e saúde.

Como outras equipes de ransomware, o Helldown é conhecido por alavancar sites de vazamento de dados para pressionar as vítimas a pagar resgates ameaçando publicar dados roubados, uma tática conhecida como dupla extorsão. Estima-se que tenha atacado pelo menos 31 empresas em um período de três meses.

Truesec, em um análise publicado no início deste mês, cadeias de ataque detalhadas Helldown que foram observadas fazendo uso de firewalls Zyxel voltados para a Internet para obter acesso inicial, seguidas pela realização de persistência, coleta de credenciais, enumeração de rede, evasão de defesa e atividades de movimento lateral para implantar o ransomware.

A nova análise da Sekoia mostra que os atacantes estão abusando de falhas de segurança conhecidas e desconhecidas em aparelhos Zyxel para violar redes, usando o ponto de apoio para roubar credenciais e criar túneis VPN SSL com usuários temporários.

A versão Windows do Helldown, uma vez lançada, executa uma série de etapas antes de filtrar e criptografar os arquivos, incluindo a exclusão de cópias de sombra do sistema e o encerramento de vários processos relacionados a bancos de dados e ao Microsoft Office. Na etapa final, o binário ransomware é excluído para encobrir as faixas, uma nota de resgate é descartada e a máquina é desligada.

Sua contraparte do Linux, de acordo com a empresa francesa de segurança cibernética, carece de mecanismos de ofuscação e anti-depuração, incorporando um conjunto conciso de funções para pesquisar e criptografar arquivos, mas não antes de listar e matar todas as máquinas virtuais ativas (VMs).

“A análise estática e dinâmica não revelou nenhuma comunicação de rede, nem qualquer chave pública ou segredo compartilhado”, disse. “Isso é notável, pois levanta questões sobre como o invasor seria capaz de fornecer uma ferramenta de descriptografia.”

Captura de tela 2024 11 19 065526

“Terminar VMs antes da criptografia concede ao ransomware acesso de gravação a arquivos de imagem. No entanto, tanto a análise estática quanto a dinâmica revelam que, embora essa funcionalidade exista no código, ela não é realmente invocada. Todas essas observações sugerem que o ransomware não é altamente sofisticado e ainda pode estar em desenvolvimento.”

Descobriu-se que os artefatos do Helldown Windows compartilham semelhanças comportamentais com o DarkRace, que surgiu em maio de 2023 usando o código do LockBit 3.0 e posteriormente renomeado para DoNex. Um decryptor para DoNex foi disponibilizado pela Avast em julho de 2024.

“Ambos os códigos são variantes do LockBit 3.0”, disse Sekoia. “Dada a história da Darkrace e da Donex de rebranding e suas semelhanças significativas com a Helldown, a possibilidade de Helldown ser outra rebrand não pode ser descartada. No entanto, esta conexão não pode ser definitivamente confirmada nesta fase.”

O desenvolvimento ocorre quando a Cisco Talos divulgou outra família emergente de ransomware conhecida como Interlock, que destacou os setores de saúde, tecnologia e governo nos EUA e as entidades de fabricação na Europa. É capaz de criptografar máquinas Windows e Linux.

As cadeias de ataque que distribuem o ransomware foram observadas usando um binário falso do atualizador do navegador Google Chrome hospedado em um site de notícias legítimo, mas comprometido, que, quando executado, libera um trojan de acesso remoto (RAT) que permite que os invasores extraiam dados confidenciais e executem comandos do PowerShell projetados para soltar cargas úteis para coletar credenciais e realizar reconhecimento.

“Em seu blog, a Interlock afirma ter como alvo a infraestrutura das organizações, explorando vulnerabilidades não abordadas e afirma que suas ações são em parte motivadas pelo desejo de responsabilizar as empresas pela falta de segurança cibernética, além do ganho monetário”, disseram pesquisadores da Talos disse.

O Interlock é avaliado como um novo grupo que surgiu de operadores ou desenvolvedores da Rhysida, acrescentou a empresa, citando sobreposições no tradecraft, ferramentas e comportamento de ransomware.

“A possível afiliação da Interlock com os operadores ou desenvolvedores da Rhysida se alinha com várias tendências mais amplas no cenário de ameaças cibernéticas”, disse a empresa. “Nós observamos grupos de ransomware diversificando suas capacidades para suportar operações mais avançadas e variadas, e os grupos de ransomware têm crescido menos isolados, à medida que observamos os operadores trabalhando cada vez mais ao lado de vários grupos de ransomware.”

Coincidindo com a chegada de Helldown e Interlock é outro novo participante para o ecossistema ransomware chamado SafePay, que afirma ter como alvo 22 empresas até o momento. SafePay, por Huntress, também usa LockBit 3.0 como sua base, indicando que o vazamento do código-fonte LockBit gerou várias variantes.

Em dois incidentes investigados pela empresa, “a atividade do ator de ameaças foi encontrada como originária de um gateway ou portal VPN, já que todos os endereços IP observados atribuídos a estações de trabalho de atores de ameaças estavam dentro do alcance interno”, disseram os pesquisadores da Huntress disse.

“O agente de ameaças foi capaz de usar credenciais válidas para acessar os endpoints do cliente e não foi observado ativando o RDP, nem criando novas contas de usuário, nem criando qualquer outra persistência.”

Fonte: thehackernews.com

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança Web e Servidores Empresariais.

DataCenter:
Av. São Paulo, 1223. João Pessoa, Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 09.452.853/0001-39

Provedor?
Rua: Clávio Molinari, 1298 Capão da Imbuia - Curitiba Paraná CE: 82810210
Registro: 20.962.496/0001-91

Central de Atendimento ao Cliente:
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br | https://www.hostcuritiba.net.br
contato@hostcuritiba.net.br - suporte@hostcuritiba.net.br - abuse@hostcuritiba.net.br

Outros artigos

AMD

AMD: Patches críticos Zen 5 microcode bug entregam novas BIOS com AGESA 1.2.0.3C

Sticky 25/04/2025

Os fornecedores de placas-mãe começaram a implantar atualizações de BIOS com base no firmware AGESA 1.2.0.3C. O novo BIOS aborda um ponto crítico segurança vulnerabilidade nos chips Zen 5 da AMD é encontrada no mês passado. Essa falha de segurança afeta os microprocessadores baseados em Zen em todas as linhas de produtos. Enquanto as atualizações […]

outlook-bug

Bug Crítico no Microsoft Outlook agora é explorado em ataques cibernéticos

Sticky 07/02/2025

A CISA alertou as agências federais dos EUA na quinta-feira para proteger seus sistemas contra ataques em andamento que visam uma vulnerabilidade crítica de execução remota de código (RCE) do Microsoft Outlook. Descoberta pelo pesquisador de vulnerabilidades da Check Point, Haifei Li, e rastreada como CVE-2024-21413 , a falha é causada por validação de entrada inadequada ao […]

ransomware

Gangue de ransomware usa túneis SSH para acesso furtivo ao VMware ESXi

Sticky 26/01/2025

Atores de ransomware que visam os hipervisores bare metal ESXi estão aproveitando o tunelamento SSH para persistir no sistema, permanecendo sem serem detectados. Os appliances VMware ESXi têm um papel crítico em ambientes virtualizados, pois podem ser executados em um único servidor físico e em várias máquinas virtuais de uma organização. Eles são em grande […]