Clicky

La nueva variante del ransomware Helldown amplía sus ataques a los sistemas VMware y Linux

ransomware Helldown

Presiona a las víctimas a pagar rescates amenazando con publicar los datos robados

Investigadores de ciberseguridad han arrojado luz sobre una variante de Linux de una cepa de ransomware relativamente nueva llamada Helldown, lo que sugiere que los actores de la amenaza están ampliando su foco de ataque.

"Helldown implementa ransomware de Windows derivado del código LockBit 3.0", dijo Sekoia en un informe. "Teniendo en cuenta el reciente desarrollo de ransomware dirigido contra ESX, parece que el grupo podría estar evolucionando sus operaciones actuales para atacar infraestructuras virtualizadas a través de VMware".

Helldown fue documentado públicamente por primera vez por Halcyon a mediados de agosto de 2024, describiéndolo como un "agresivo grupo de ransomware" que se infiltra en redes objetivo explotando vulnerabilidades de seguridad. Algunos de los sectores más destacados que atacan al grupo de ciberdelincuentes incluyen los servicios de TI, las telecomunicaciones, la fabricación y la atención médica.

Al igual que otros grupos de ransomware, Helldown es conocido por aprovechar sitios de fuga de datos para presionar a las víctimas a pagar rescates amenazando con publicar los datos robados, una táctica conocida como doble extorsión. Se estima que atacó al menos a 31 empresas en un lapso de tres meses.

Truesec, en un análisis publicado a principios de este mes, detalló las cadenas de ataques Helldown que se observaron haciendo uso de firewalls Zyxel con conexión a Internet para obtener acceso inicial, seguido de la realización de actividades de persistencia, recolección de credenciales, enumeración de red, evasión de defensa y movimiento lateral para finalmente implementar el ransomware.

El nuevo análisis de Sekoia muestra que los atacantes están abusando de fallas de seguridad conocidas y desconocidas en los dispositivos Zyxel para violar las redes, usando el punto de apoyo para robar credenciales y crear túneles VPN SSL con usuarios temporales.

La versión para Windows de Helldown, una vez iniciada, realiza una serie de pasos antes de exfiltrar y cifrar los archivos, incluida la eliminación de instantáneas del sistema y la finalización de varios procesos relacionados con bases de datos y Microsoft Office. En el paso final, se elimina el binario del ransomware para cubrir las huellas, se deja una nota de rescate y se apaga la máquina.

Su contraparte de Linux, según la empresa francesa de ciberseguridad, carece de mecanismos de ofuscación y anti-depuración, aunque incorpora un conjunto conciso de funciones para buscar y cifrar archivos, pero no antes de enumerar y matar todas las máquinas virtuales (VM) activas.

"El análisis estático y dinámico no reveló ninguna comunicación en red, ni ninguna clave pública o secreto compartido", afirmó. "Esto es notable, ya que plantea preguntas sobre cómo el atacante podría proporcionar una herramienta de descifrado".

"La terminación de las máquinas virtuales antes del cifrado otorga al ransomware acceso de escritura a los archivos de imagen. Sin embargo, tanto el análisis estático como el dinámico revelan que, si bien esta funcionalidad existe en el código, en realidad no se invoca. Todas estas observaciones sugieren que el ransomware no es muy sofisticado y que aún puede estar en desarrollo".

Se ha descubierto que los artefactos de Helldown para Windows comparten similitudes de comportamiento con DarkRace, que surgió en mayo de 2023 utilizando el código de LockBit 3.0 y luego cambió su nombre a DoNex. Avast puso a disposición un descifrador para DoNex en julio de 2024.

"Ambos códigos son variantes de LockBit 3.0", dijo Sekoia. "Dado el historial de cambios de marca de Darkrace y Donex y sus similitudes significativas con Helldown, no se puede descartar la posibilidad de que Helldown sea otro cambio de marca. Sin embargo, esta conexión no se puede confirmar definitivamente en esta etapa".

Jesus_Caceres