网络安全研究人员发现了一种名为 “Helldown ”的新型勒索软件的 Linux 变种,这表明威胁分子正在扩大其攻击重点。

“Helldown 部署了源自 LockBit 3.0 代码的 Windows 勒索软件,”Sekoia 在与 The Hacker News 分享的一份报告中说。“鉴于最近针对 ESX 的勒索软件的发展,该组织似乎可能正在发展其当前的行动,以通过 VMware 来攻击虚拟化基础设施。”

Halcyon于2024年8月中旬首次公开记录了Helldown,将其描述为一个 “侵略性勒索软件组织”,通过利用安全漏洞渗透目标网络。该网络犯罪集团的主要目标行业包括 IT 服务、电信、制造和医疗保健。

与其他勒索软件团伙一样,Helldown 以利用数据泄露网站威胁公布被盗数据,迫使受害者支付赎金而闻名,这种策略被称为双重勒索。据估计,它在三个月内至少攻击了 31 家公司。

Truesec 在本月早些时候发布的一份分析报告中详细介绍了 Helldown 攻击链,据观察,该攻击链利用面向互联网的 Zyxel 防火墙获取初始访问权限,然后进行持久性攻击、凭证收集、网络查点、防御规避和横向移动活动,最终部署勒索软件。

Sekoia的最新分析显示,攻击者正在滥用Zyxel设备中已知和未知的安全漏洞来入侵网络,利用这个立足点窃取凭证并与临时用户创建SSL VPN隧道。

Windows 版本的 Helldown 一旦启动,就会在渗出和加密文件之前执行一系列步骤,包括删除系统阴影副本和终止与数据库和 Microsoft Office 有关的各种进程。在最后一步,它会删除勒索软件二进制文件以掩盖踪迹,并丢弃一张赎金纸条,然后关闭机器。

法国网络安全公司称,该勒索软件的Linux对应程序缺乏混淆和反调试机制,同时包含一套简洁的功能来搜索和加密文件,但在此之前不会列出并杀死所有活动的虚拟机(VM)。

“静态和动态分析没有发现任何网络通信,也没有发现任何公开密钥或共享秘密,”它说。“这一点值得注意,因为它提出了攻击者如何提供解密工具的问题。”

“在加密前终止虚拟机可授予勒索软件写入镜像文件的权限。然而,静态和动态分析都显示,虽然代码中存在这一功能,但实际上并未调用。所有这些观察结果表明,勒索软件并不复杂,可能仍在开发中。”

Helldown Windows人工制品与DarkRace在行为上有相似之处,后者于2023年5月出现,使用了LockBit 3.0的代码,后来改名为DoNex。早在 2024 年 7 月,Avast 就提供了 DoNex 的解密程序。

Sekoia说:“这两种代码都是LockBit 3.0的变种。鉴于 Darkrace 和 Donex 的品牌重塑历史及其与 Helldown 的显著相似性,不能排除 Helldown 是另一个品牌重塑的可能性。不过,这种联系在现阶段还无法得到明确证实。”

思科塔洛斯(Cisco Talos)披露了另一个名为 “Interlock ”的新兴勒索软件家族,该家族专门针对美国的医疗保健、技术和政府部门以及欧洲的制造业实体。它能够加密 Windows 和 Linux 机器。

据观察,传播勒索软件的攻击链使用了一个假冒的谷歌 Chrome 浏览器更新程序二进制文件,该二进制文件托管在一个合法但已损坏的新闻网站上,运行时会释放一个远程访问木马(RAT),允许攻击者提取敏感数据并执行 PowerShell 命令,该命令旨在投放有效载荷,以获取凭据并进行侦察。

“在他们的博客中,Interlock 声称他们利用未解决的漏洞来攻击组织的基础设施,并声称他们的行动除了金钱利益外,部分动机是希望让公司对糟糕的网络安全负责,”Talos 的研究人员说。

该公司补充说,据评估,Interlock 是一个从 Rhysida 操作员或开发人员中衍生出来的新组织,他们在手法、工具和勒索软件行为方面存在重叠。

“Interlock可能隶属于Rhysida的操作者或开发者,这与网络威胁领域的几大趋势相吻合,”该公司说。“我们观察到,勒索软件组织的能力正在多样化,以支持更先进、更多样的操作,勒索软件组织的孤岛化程度也在降低,因为我们观察到,操作人员越来越多地与多个勒索软件组织合作。”

在 Helldown 和 Interlock 出现的同时,另一个名为 SafePay 的勒索软件也加入了勒索软件生态系统。根据 Huntress 的说法,SafePay 也使用 LockBit 3.0 作为基础,这表明 LockBit 源代码的泄露已经催生了多个变种。

在该公司调查的两起事件中,“发现威胁行为者的活动源自 VPN 网关或门户,因为所有观察到的分配给威胁行为者工作站的 IP 地址都在内部范围内,”Huntress 研究人员说。

Huntress 研究人员说:“威胁行为者能够使用有效凭证访问客户端点,而且没有观察到启用 RDP、创建新用户账户或创建任何其他持久性。”

文章原文链接:https://www.anquanke.com/post/id/302098