Los investigadores de ciberseguridad han arrojado luz sobre una variante de Linux de una cepa de ransomware relativamente nueva llamada Helldown, lo que sugiere que los actores de amenazas est\u00e1n ampliando su enfoque de ataque.<\/p>\n
“Helldown implementa ransomware para Windows derivado del c\u00f3digo LockBit 3.0”, Sekoia dicho<\/a> en un informe compartido con The Hacker News. “Dado el reciente desarrollo de ransomware dirigido a ESX, parece que el grupo podr\u00eda estar evolucionando sus operaciones actuales para apuntar a infraestructuras virtualizadas a trav\u00e9s de VMware”.<\/p>\n El infierno fue documentado p\u00fablicamente por primera vez<\/a> por Halcyon a mediados de agosto de 2024, describiendo<\/a> como un “grupo de ransomware agresivo” que se infiltra<\/a> atacar redes explotando vulnerabilidades de seguridad. Algunos de los sectores destacados a los que se dirige el grupo de delitos cibern\u00e9ticos incluyen los servicios de TI, las telecomunicaciones, la fabricaci\u00f3n y la atenci\u00f3n sanitaria.<\/p>\n Al igual que otros equipos de ransomware, Helldown es conocido<\/a> por aprovechar los sitios de fuga de datos para presionar a las v\u00edctimas a pagar rescates amenazando con publicar datos robados, una t\u00e1ctica conocida como doble extorsi\u00f3n. Se estima que atac\u00f3 al menos 31 empresas en un lapso de tres meses.<\/p>\n Truesec, en un an\u00e1lisis<\/a> publicado a principios de este mes, detalla las cadenas de ataques Helldown que se han observado utilizando firewalls Zyxel orientados a Internet para obtener acceso inicial, seguido de actividades de persistencia, recolecci\u00f3n de credenciales, enumeraci\u00f3n de redes, evasi\u00f3n de defensa y movimiento lateral para finalmente implementar el ransomware. .<\/p>\n El nuevo an\u00e1lisis de Sekoia muestra que los atacantes est\u00e1n abusando de fallas de seguridad conocidas y desconocidas en los dispositivos Zyxel para violar las redes, utilizando el punto de apoyo para robar credenciales y crear t\u00faneles VPN SSL<\/a> con usuarios temporales.<\/p>\n La versi\u00f3n de Helldown para Windows, una vez iniciada, realiza una serie de pasos antes de filtrar y cifrar los archivos, incluida la eliminaci\u00f3n de instant\u00e1neas del sistema y la finalizaci\u00f3n de varios procesos relacionados con bases de datos y Microsoft Office. En el paso final, se elimina el binario del ransomware para ocultar las pistas, se coloca una nota de rescate y se apaga la m\u00e1quina.<\/p>\n Su hom\u00f3logo de Linux, seg\u00fan la empresa francesa de ciberseguridad, carece de mecanismos de ofuscaci\u00f3n y antidepuraci\u00f3n, aunque incorpora un conjunto conciso de funciones para buscar y cifrar archivos, no sin antes enumerar y eliminar todas las m\u00e1quinas virtuales (VM) activas.<\/p>\n “El an\u00e1lisis est\u00e1tico y din\u00e1mico no revel\u00f3 ninguna comunicaci\u00f3n de red, ni ninguna clave p\u00fablica o secreto compartido”, dijo. “Esto es notable, ya que plantea dudas sobre c\u00f3mo el atacante podr\u00eda proporcionar una herramienta de descifrado”.<\/p>\n “Terminar las m\u00e1quinas virtuales antes del cifrado otorga al ransomware acceso de escritura a los archivos de imagen. Sin embargo, tanto el an\u00e1lisis est\u00e1tico como el din\u00e1mico revelan que, si bien esta funcionalidad existe en el c\u00f3digo, en realidad no se invoca. Todas estas observaciones sugieren que el ransomware no es muy sofisticado y puede todav\u00eda est\u00e1 en desarrollo.”<\/p>\n Se ha descubierto que los artefactos de Helldown Windows comparten similitudes de comportamiento con DarkRace, que surgi\u00f3 en mayo de 2023 utilizando c\u00f3digo de LockBit 3.0 y luego rebautizado como DoNex. Avast puso a disposici\u00f3n un descifrador para DoNex en julio de 2024.<\/p>\n “Ambos c\u00f3digos son variantes de LockBit 3.0”, dijo Sekoia. “Dada la historia de cambio de marca de Darkrace y Donex y sus significativas similitudes con Helldown, no se puede descartar la posibilidad de que Helldown sea otro cambio de marca. Sin embargo, esta conexi\u00f3n no se puede confirmar definitivamente en este momento”.<\/p>\n El desarrollo se produce cuando Cisco Talos revel\u00f3 otra familia de ransomware emergente conocida como Interlock que ha se\u00f1alado los sectores de atenci\u00f3n m\u00e9dica, tecnolog\u00eda y gobierno en los EE. UU., y entidades manufactureras en Europa. Es capaz de cifrar m\u00e1quinas tanto con Windows como con Linux.<\/p>\n Se han observado cadenas de ataques que distribuyen el ransomware utilizando un binario falso de actualizaci\u00f3n del navegador Google Chrome alojado en un sitio web de noticias leg\u00edtimo pero comprometido que, cuando se ejecuta, libera un troyano de acceso remoto (RAT) que permite a los atacantes extraer datos confidenciales y ejecutar PowerShell. Comandos dise\u00f1ados para soltar cargas \u00fatiles para recolectar credenciales y realizar reconocimientos.<\/p>\n “En su blog, Interlock afirma atacar la infraestructura de las organizaciones explotando vulnerabilidades no resueltas y afirma que sus acciones est\u00e1n motivadas en parte por el deseo de responsabilizar a las empresas por la mala ciberseguridad, adem\u00e1s de la ganancia monetaria”, investigadores de Talos dicho<\/a>.<\/p>\n Se considera que Interlock es un nuevo grupo que surgi\u00f3 de los operadores o desarrolladores de Rhysida, agreg\u00f3 la compa\u00f1\u00eda, citando superposiciones en el oficio, las herramientas y el comportamiento del ransomware.<\/p>\n “La posible afiliaci\u00f3n de Interlock con operadores o desarrolladores de Rhysida se alinear\u00eda con varias tendencias m\u00e1s amplias en el panorama de las amenazas cibern\u00e9ticas”, dijo. “Observamos que los grupos de ransomware diversifican sus capacidades para soportar operaciones m\u00e1s avanzadas y variadas, y los grupos de ransomware se han vuelto menos aislados, ya que observamos que los operadores trabajan cada vez m\u00e1s junto con m\u00faltiples grupos de ransomware”.<\/p>\n Coincidiendo con la llegada de Helldown e Interlock, aparece otro nuevo participante en el ecosistema de ransomware llamado SafePay, que afirma haber apuntado a 22 empresas hasta la fecha. SafePay, seg\u00fan Huntress, tambi\u00e9n utiliza LockBit 3.0 como base, lo que indica que la filtraci\u00f3n del c\u00f3digo fuente de LockBit ha generado varias variantes.<\/p>\n En dos incidentes investigados por la compa\u00f1\u00eda, “se descubri\u00f3 que la actividad del actor de amenazas se originaba desde una puerta de enlace o portal VPN, ya que todas las direcciones IP observadas asignadas a las estaciones de trabajo de los actores de amenazas estaban dentro del rango interno”, dijeron los investigadores de Huntress. dicho<\/a>.<\/p>\n “El actor de amenazas pudo usar credenciales v\u00e1lidas para acceder a los puntos finales de los clientes y no se observ\u00f3 habilitando RDP, ni creando nuevas cuentas de usuario, ni creando ninguna otra persistencia”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/La-nueva-variante-de-ransomware-Helldown-amplia-los-ataques-a.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n