Novo ‘Helldown’ Ransomware expande ataques para sistemas VMware e Linux

Sticky 19/11/2024
ranwomware
Visualizações: 2

Os pesquisadores de segurança cibernética lançaram luz sobre uma variante do Linux de uma cepa de ransomware relativamente nova chamada Helldown, sugerindo que os agentes de ameaças estão ampliando seu foco de ataque.

“Helldown implanta Windows ransomware derivado do código LockBit 3.0,” Sekoia disse em um relatório compartilhado com o The Hacker News. “Dado o recente desenvolvimento de ransomware visando ESX, parece que o grupo poderia estar evoluindo suas operações atuais para atingir infraestruturas virtualizadas via VMware.”

Helldown foi primeiro documentado publicamente por Halcyon em meados de agosto de 2024 descrevendo é como um “grupo de ransomware agressivo” que infiltra segmente redes explorando vulnerabilidades de segurança. Alguns dos setores de destaque visados pelo grupo de cibercrime incluem serviços de TI, telecomunicações, manufatura e saúde.

Como outras equipes de ransomware, o Helldown é conhecido por alavancar sites de vazamento de dados para pressionar as vítimas a pagar resgates ameaçando publicar dados roubados, uma tática conhecida como dupla extorsão. Estima-se que tenha atacado pelo menos 31 empresas em um período de três meses.

Truesec, em um análise publicado no início deste mês, cadeias de ataque detalhadas Helldown que foram observadas fazendo uso de firewalls Zyxel voltados para a Internet para obter acesso inicial, seguidas pela realização de persistência, coleta de credenciais, enumeração de rede, evasão de defesa e atividades de movimento lateral para implantar o ransomware.

A nova análise da Sekoia mostra que os atacantes estão abusando de falhas de segurança conhecidas e desconhecidas em aparelhos Zyxel para violar redes, usando o ponto de apoio para roubar credenciais e criar túneis VPN SSL com usuários temporários.

A versão Windows do Helldown, uma vez lançada, executa uma série de etapas antes de filtrar e criptografar os arquivos, incluindo a exclusão de cópias de sombra do sistema e o encerramento de vários processos relacionados a bancos de dados e ao Microsoft Office. Na etapa final, o binário ransomware é excluído para encobrir as faixas, uma nota de resgate é descartada e a máquina é desligada.

Sua contraparte do Linux, de acordo com a empresa francesa de segurança cibernética, carece de mecanismos de ofuscação e anti-depuração, incorporando um conjunto conciso de funções para pesquisar e criptografar arquivos, mas não antes de listar e matar todas as máquinas virtuais ativas (VMs).

“A análise estática e dinâmica não revelou nenhuma comunicação de rede, nem qualquer chave pública ou segredo compartilhado”, disse. “Isso é notável, pois levanta questões sobre como o invasor seria capaz de fornecer uma ferramenta de descriptografia.”

Captura de tela 2024 11 19 065526

“Terminar VMs antes da criptografia concede ao ransomware acesso de gravação a arquivos de imagem. No entanto, tanto a análise estática quanto a dinâmica revelam que, embora essa funcionalidade exista no código, ela não é realmente invocada. Todas essas observações sugerem que o ransomware não é altamente sofisticado e ainda pode estar em desenvolvimento.”

Descobriu-se que os artefatos do Helldown Windows compartilham semelhanças comportamentais com o DarkRace, que surgiu em maio de 2023 usando o código do LockBit 3.0 e posteriormente renomeado para DoNex. Um decryptor para DoNex foi disponibilizado pela Avast em julho de 2024.

“Ambos os códigos são variantes do LockBit 3.0”, disse Sekoia. “Dada a história da Darkrace e da Donex de rebranding e suas semelhanças significativas com a Helldown, a possibilidade de Helldown ser outra rebrand não pode ser descartada. No entanto, esta conexão não pode ser definitivamente confirmada nesta fase.”

O desenvolvimento ocorre quando a Cisco Talos divulgou outra família emergente de ransomware conhecida como Interlock, que destacou os setores de saúde, tecnologia e governo nos EUA e as entidades de fabricação na Europa. É capaz de criptografar máquinas Windows e Linux.

As cadeias de ataque que distribuem o ransomware foram observadas usando um binário falso do atualizador do navegador Google Chrome hospedado em um site de notícias legítimo, mas comprometido, que, quando executado, libera um trojan de acesso remoto (RAT) que permite que os invasores extraiam dados confidenciais e executem comandos do PowerShell projetados para soltar cargas úteis para coletar credenciais e realizar reconhecimento.

“Em seu blog, a Interlock afirma ter como alvo a infraestrutura das organizações, explorando vulnerabilidades não abordadas e afirma que suas ações são em parte motivadas pelo desejo de responsabilizar as empresas pela falta de segurança cibernética, além do ganho monetário”, disseram pesquisadores da Talos disse.

O Interlock é avaliado como um novo grupo que surgiu de operadores ou desenvolvedores da Rhysida, acrescentou a empresa, citando sobreposições no tradecraft, ferramentas e comportamento de ransomware.

“A possível afiliação da Interlock com os operadores ou desenvolvedores da Rhysida se alinha com várias tendências mais amplas no cenário de ameaças cibernéticas”, disse a empresa. “Nós observamos grupos de ransomware diversificando suas capacidades para suportar operações mais avançadas e variadas, e os grupos de ransomware têm crescido menos isolados, à medida que observamos os operadores trabalhando cada vez mais ao lado de vários grupos de ransomware.”

Coincidindo com a chegada de Helldown e Interlock é outro novo participante para o ecossistema ransomware chamado SafePay, que afirma ter como alvo 22 empresas até o momento. SafePay, por Huntress, também usa LockBit 3.0 como sua base, indicando que o vazamento do código-fonte LockBit gerou várias variantes.

Em dois incidentes investigados pela empresa, “a atividade do ator de ameaças foi encontrada como originária de um gateway ou portal VPN, já que todos os endereços IP observados atribuídos a estações de trabalho de atores de ameaças estavam dentro do alcance interno”, disseram os pesquisadores da Huntress disse.

“O agente de ameaças foi capaz de usar credenciais válidas para acessar os endpoints do cliente e não foi observado ativando o RDP, nem criando novas contas de usuário, nem criando qualquer outra persistência.”

Fonte: thehackernews.com

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança de rede web e servidores empresariais.

Av. São Paulo, 1223. João Pessoa
Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 20.962.496/0001-91

Central de Atendimento ao Cliente
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br
https://www.hostcuritiba.net.br

contato@hostcuritiba.net.br
suporte@hostcuritiba.net.br
abuse@hostcuritiba.net.br

Outros artigos

wordpress

Urgente: Vulnerabilidade crítica do plugin WordPress expõe mais de 4 milhões de sites

Sticky 18/11/2024

Uma vulnerabilidade crítica de desvio de autenticação foi divulgada no plugin Really Simple Security (antigo Really Simple SSL) para WordPress que, se explorada com sucesso, pode conceder a um invasor acesso administrativo total remotamente a um site suscetível. A vulnerabilidade, rastreada como CVE-2024-10924 (pontuação CVSS: 9,8), impacta versões gratuitas e premium do plugin. O software […]

amd-ryzen

Ryzen 7000 / 8000 problemas de virtualização de reinicialização aleatória

Sticky 17/11/2024

Pouco antes do lançamento pretendido do kernel Linux versão 6.12, o engenheiro da AMD Linux Mario Limonciello empurrou uma correção urgente para ser mesclada com o kernel Linux 6.12 e retroativamente para outros kernels. A correção se livra de alguns problemas difíceis que estavam sendo experimentados pelos usuários do processador Ryzen 7000 e 8000 Series […]

AlmaLinux

AMD Continua Backing AlmaLinux Para Comunidade Enterprise Linux OS

Sticky 13/11/2024

O projeto do sistema operacional AlmaLinux que foi iniciado a partir das consequências da mudança de desenvolvimento RHEL/CentOS há vários anos mais uma vez cortejou a AMD como um patrocínio deste sistema operacional Linux corporativo da comunidade. O projeto AlmaLinux compartilhou esta semana que a AMD renovou seu acordo de patrocínio para esta distribuição Linux […]