Изследователи в областта на киберсигурността разкриха Linux вариант на сравнително нов щам на ransomware, наречен Helldown, което показва, че заплахите разширяват фокуса на атаките си.
„Helldown разгръща ransomware за Windows, получен от кода LockBit 3.0“, казва Sekoia в доклад, споделен с The Hacker News. „Като се има предвид неотдавнашното развитие на ransomware, насочен към ESX, изглежда, че групата може да развива настоящите си операции, за да се насочи към виртуализирани инфраструктури чрез VMware.“
За първи път Helldown е публично документиран от Halcyon в средата на август 2024 г., като е описан като „агресивна група за ransomware“, която прониква в целевите мрежи чрез използване на уязвимости в сигурността. Някои от известните сектори, към които е насочена киберпрестъпната група, включват ИТ услуги, телекомуникации, производство и здравеопазване.
Подобно на други ransomware групи Helldown е известна с това, че използва сайтове за изтичане на данни, за да притиска жертвите да плащат откупи, като заплашва да публикува откраднатите данни – тактика, известна като двойно изнудване. Смята се, че е атакувал поне 31 компании в рамките на три месеца.
В анализ, публикуван по-рано този месец, Truesec подробно описва веригите за атаки Helldown, при които е наблюдавано използване на насочени към интернет защитни стени Zyxel за получаване на първоначален достъп, след което се извършват дейности по поддържане, събиране на данни, преброяване на мрежи, избягване на защитата и странично придвижване, за да се разгърне в крайна сметка рансъмуерът.
Новият анализ на Sekoia показва, че нападателите злоупотребяват с известни и неизвестни пропуски в сигурността на устройствата Zyxel, за да пробиват мрежи, като използват опорната точка за кражба на идентификационни данни и създаване на SSL VPN тунели с временни потребители.
Версията на Helldown за Windows, след като бъде стартирана, извършва редица стъпки преди ексфилтрирането и криптирането на файловете, включително изтриване на системните сенчести копия и прекратяване на различни процеси, свързани с бази данни и Microsoft Office. В последната стъпка бинарният софтуер за откуп се изтрива, за да се прикрият следите, пуска се бележка за откуп и машината се изключва.
По данни на френската компания за киберсигурност неговият аналог за Linux няма механизми за замаскиране и борба с отстраняването на грешки, като същевременно включва кратък набор от функции за търсене и криптиране на файлове, но не и преди да направи списък и да убие всички активни виртуални машини (VM).
„Статичният и динамичният анализ не разкриха мрежова комуникация, нито публичен ключ или споделена тайна“, заявиха от компанията. „Това е забележително, тъй като повдига въпроси за това как нападателят би могъл да осигури инструмент за декриптиране.“
„Прекратяването на работата на виртуалните машини преди криптирането предоставя на ransomware достъп за запис до файловете с изображения. Както статичният, така и динамичният анализ обаче разкриват, че макар тази функционалност да съществува в кода, тя всъщност не се извиква. Всички тези наблюдения предполагат, че рансъмуерът не е много усъвършенстван и може би все още е в процес на разработка.“
Установено е, че артефактите на Helldown Windows имат общи поведенчески сходства с DarkRace, който се появи през май 2023 г., използвайки код от LockBit 3.0 и по-късно ребрандиран на DoNex. Декриптор за DoNex беше предоставен от Avast още през юли 2024 г.
„И двата кода са варианти на LockBit 3.0“, казва Sekoia. „Като се има предвид историята на ребрандиране на Darkrace и Donex и значителните им прилики с Helldown, не може да се отхвърли възможността Helldown да е друго ребрандиране. Тази връзка обаче не може да бъде окончателно потвърдена на този етап.“
Развитието идва в момент, в който Cisco Talos разкри друга новопоявила се фамилия рансъмуер, известна като Interlock, която се е насочила към здравния, технологичния и правителствения сектор в САЩ и към производствени предприятия в Европа. То е способно да криптира както машини с Windows, така и с Linux.
Наблюдавано е, че веригите за атаки, разпространяващи рансъмуера, използват фалшив двоичен файл за обновяване на браузъра Google Chrome, хостван на легитимен, но компрометиран новинарски уебсайт, който при стартиране отключва троянски кон за отдалечен достъп (RAT), позволяващ на нападателите да извличат чувствителни данни и да изпълняват команди PowerShell, предназначени за пускане на полезен товар за събиране на идентификационни данни и провеждане на разузнаване.
„В блога си Interlock твърди, че се насочва към инфраструктурата на организациите, като използва неадресирани уязвимости, и заявява, че действията им са отчасти мотивирани от желанието да се потърси отговорност от компаниите за слаба киберсигурност, в допълнение към паричната печалба“, казват изследователите от Talos.
Interlock се оценява като нова група, възникнала от операторите или разработчиците на Rhysida, допълват от компанията, позовавайки се на припокривания в трафика, инструментите и поведението на ransomware.
„Възможната принадлежност на Interlock към операторите или разработчиците на Rhysida би съответствала на няколко по-широки тенденции в пейзажа на киберзаплахите“, заяви тя. „Наблюдавахме, че групите за рансъмуер диверсифицират своите възможности, за да поддържат по-напреднали и разнообразни операции, а групите за рансъмуер стават все по-малко изолирани, тъй като наблюдавахме, че операторите все по-често работят заедно с няколко групи за рансъмуер.“
Едновременно с появата на Helldown и Interlock в екосистемата на ransomware се появява още един нов участник, наречен SafePay, който твърди, че до момента е бил обект на атаки от страна на 22 компании. SafePay, по данни на Huntress, също използва LockBit 3.0 като своя база, което показва, че изтичането на изходния код на LockBit е породило няколко варианта.
При два инцидента, разследвани от компанията, „беше установено, че дейността на заплахата произхожда от VPN шлюз или портал, тъй като всички наблюдавани IP адреси, присвоени на работните станции на заплахата, бяха във вътрешния обхват“, заявиха изследователите на Huntress.
„Извършителят на заплахата е бил в състояние да използва валидни идентификационни данни за достъп до крайните точки на клиентите, като не е наблюдавано активиране на RDP, нито създаване на нови потребителски акаунти, нито създаване на каквато и да е друга устойчивост.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.