Helldown Ransomware
A Helldown ransomware csoport egy viszonylag új és még mindig nagyrészt dokumentálatlan intrusion set (IS), amelyről korábban ismert volt, hogy kizárólag Windows rendszerekre telepített ransomware-ket. Saját, egyedi ransomware-t és kettős zsarolási taktikát alkalmaz. Különösen aktív, három hónap alatt 31 áldozatot követelt, köztük a Zyxel európai leányvállalatát. A Sekoia Threat Detection & Research (TDR) csapata a közösségi média figyelése révén azonosított egy 2024. október 31-én közzétett tweetet, amelyben a Helldown ransomware Linux rendszereket célzó Linux-változatát említették meg.
A Sekoia blogbejegyzése részletesen megvizsgálja a Helldown ransomware-t, mint feltörekvő fenyegetést.
A Helldown a rendelkezésre álló adatok szerint főként a Zyxel tűzfalakat veszi célba egy nem dokumentált sérülékenység kihasználásával. A Sekoia elemzése arra utal, hogy a telepített ransomware-k viszonylag egyszerűek. Úgy tűnik, a csoport sikere inkább azon múlik, hogy hozzáfér a dokumentálatlan sérülékenységekhez, és azokat hatékonyan használja fel. Vannak működési hasonlóságok a Helldown ransomware és más, például a Darkrace és a Donex között, hivatalos kapcsolatot egyelőre nem sikerült megállapítani a kutatóknak a csoportok között.
A Helldown által kihasznált Zyxel sérülékenység, amelyet a Truesec dokumentált, úgy tűnik, megegyezik azzal, amelyet egy felhasználó jelentett a Zyxel fórumán. Úgy tűnik, hogy nem egyezik a Zyxel által jelenleg felsorolt CVE-kkel, de a Zyxel azt nyilatkozta, hogy a probléma a legutóbbi firmware-frissítésben megoldódott.
A Helldown a LockBit 3 kódjából származó Windows alapú rendszereket célzó rasnomware-t telepíti. Tekintettel az ESX-et célzó ransomware-ek közelmúltbeli fejlődésére, úgy tűnik, hogy a csoport jelenlegi műveleteit a VMware virtualizált infrastruktúrákat célozhatja meg.
