Hızla ortaya çıkan ve “Helldown” olarak takip edilen fidye yazılımı ailesinin tedarikçisi, VMware ESXi sunucularını kullanan birden fazla sektördeki kuruluşları hedef alan yeni bir Linux çeşidini tanıttı.
Sekoia’daki güvenlik araştırmacılarının bu hafta bildirdiğine göre, kurbanların birçoğunda, ihlal sırasında IPSec VPN erişim noktaları olarak Zyxel güvenlik duvarları konuşlandırılmıştı; bu durum, saldırganların ilk erişim elde etmek için teknolojideki bir güvenlik açığından veya güvenlik açıklarından yararlandığını gösteriyor. Helldown’un arkasındaki grup, ağustos ayında ortaya çıktığından bu yana, çoğu ABD merkezli olan 31 kurbanı hızla tespit etti.
Belgelenmemiş Zyxel Güvenlik Açıkları?
Seokia, mevcut telemetrinin, saldırganların kullandığı Zyxel kusurunun belgelenmemiş olduğunu gösterdiğini söyledi. Ancak Zyxel, Helldown aktörlerinin ardından güvenlik duvarlarındaki birden fazla güvenlik açığı için düzeltmeler yayınladı Şirketin ağını ihlal ettiyine ağustos ayında ve ardından 250 GB değerinde veri sızdırıldı. Sekoia, Kasım ortası itibarıyla bu güvenlik açıklarından herhangi birine yönelik herhangi bir yararlanma kodunun kamuya açık görünmediğini ancak Helldown saldırganlarının bu güvenlik açıklarından herhangi birini istismar ediyor olabileceği ihtimalini açık bıraktığını söyledi.
Sekoia araştırmacısı Jeremy Scion bu hafta şöyle yazdı: “Çok sayıda kurbanın da gösterdiği gibi, Helldown oldukça aktif yeni bir saldırı setidir.” “Mevcut veriler, grubun esas olarak belgelenmemiş güvenlik açıklarından yararlanarak Zyxel güvenlik duvarlarını hedef aldığını gösteriyor.” Scion, fidye yazılımının standart bir ücret olmasına rağmen, grubu tehlikeli kılan şeyin belgelenmemiş güvenlik açığı koduna görünür erişimi ve bu kodu etkili bir şekilde kullanması olduğunu belirtti.
Zyxel güvenlik duvarları, diğer birçok ağ ve uç teknolojisi gibi, popüler bir saldırgan hedefidir. Tehdit aktörleri bu durumu hızla istismar ediyor Şirketin ürünlerindeki kusurlar geçmişte çeşitli kampanyalarda yer aldı, bunlardan biri dublajlı IZ1H9 Nesnelerin İnterneti (IoT) ağlarını hedef alan; içeren başka bir Mirai varyantı; ve çarpan bir tane daha Danimarka kritik altyapısı.
Sorunlu Bir Değişim
Keeper Security’nin güvenlik ve mimarlık başkan yardımcısı Patrick Tiquet, Helldown’ı fidye yazılımı aktörlerinin taktiklerinde rahatsız edici bir değişim olarak gördü. Kendisi e-posta aracılığıyla şunları söyledi: “Linux’u hedef alan fidye yazılımı benzeri görülmemiş bir durum olmasa da Helldown’ın VMware sistemlerine odaklanması, operatörlerinin birçok işletmenin güvendiği sanallaştırılmış altyapıları bozacak şekilde geliştiğini gösteriyor.” “Güvenlik ekiplerine verilen mesaj açık: bilinen güvenlik açıklarını düzeltin, olağandışı etkinlikleri izleyin ve sanallaştırılmış ortamlara geleneksel ortamlarla aynı dikkatle davranın.”
Ağustos başından bu yana çok sayıda güvenlik sağlayıcısı Helldown’un da dahil olduğu saldırılar bildirdi. Kurbanlarının çoğu küçük ve orta ölçekli işletmeler ulaşım, imalat, sağlık, telekomünikasyon ve BT hizmetleri dahil olmak üzere farklı sektörlerde. Halikon, Helldown’ı ilk fark edenlerden birigrubu “son derece saldırgan” olarak nitelendirdi ve mağdurlarda önemli aksamalara ve mali kayıplara neden olabilecek kapasitedeydi. Halycon’a göre Helldown aktörlerinin kurbanlardan büyük miktarda veri çalma ve fidye alınmadığı takdirde verileri sızdırmakla tehdit etme eğilimleri var.
Bu ayın başlarında yayınlanan bir raporda Truesec, tehdit aktörünü şu şekilde algıladı: daha sofistike Akira’nın arkasındaki gibi daha iyi bilinen fidye yazılımı operatörleriyle karşılaştırıldığında, ilk uzlaşma tekniklerinde. Truesec’in analiz ettiği saldırılarda Helldown tehdit aktörleri, tehlike altındaki bir ağ üzerinde görevlerini gerçekleştirmek için meşru araçlardan ve diğer arazide yaşama tekniklerinden yararlandı.
Tehlikeli Düşman
Trusec, “Son olaylar, grubun, kurtarma sürecini engellemek ve dosya oyma işleminin etkinliğini azaltmak amacıyla, bir uzlaşma sırasında kullanılan araçları tamamıyla kaldıracağını ve ayrıca farklı makinelerin sabit sürücüsündeki boş disk alanını geçersiz kılacağını gösterdi.” dedi. . Güvenlik sağlayıcısı, Helldown aktörlerinin kurban ortamlarına doğrudan İnternet’e bakan Zyxel güvenlik duvarından eriştiklerini ileri sürdü. Tehdit aktörü, kurban ağına girdiğinde yanal hareket için TeamViewer’ı veya varsayılan Windows RDP istemcisini, uzaktan kod yürütmek için PowerShell’i ve kimlik bilgilerini aramak ve almak için Mimikatz’ı kullandı.
Sekoia’ya göre, birden fazla Helldown kurbanından gelen raporlar, saldırganın donanım yazılımının 5.38 sürümünü çalıştıran Zyxel güvenlik duvarlarını tehlikeye attığını gösteriyor. Scion, “Özellikle zzz1.conf adlı bir dosya yüklendi ve güvenliği ihlal edilen sistemlerde OKSDW82A adında bir kullanıcı hesabı oluşturuldu” dedi. Saldırgan daha sonra geçici hesabı kullanarak kurban ağına erişim sağlamak ve bu ağa daha fazla geçiş yapmak için bir SSL VPN tüneli oluşturdu.
Saldırı zinciri, tehdit aktörünün, adı verilen bir araç kullanarak uç nokta tespit mekanizmalarını devre dışı bırakma girişimlerini içeriyordu. HRSword; Ağın derinliklerine inmek için etki alanı denetleyicisinin LDAP kimlik bilgilerinden yararlanın; Gelişmiş Bağlantı Noktası Tarayıcısını indirmek için certutil’i kullanın; uzaktan erişim ve yanal hareket için RDP veya TeamViewer’ı kullanın; ve uzaktan kod yürütmek için PSExec’i kullanın.
Scion, Sekoia’nın Helldown oyuncularının veri sızıntısı sitelerinde yayınladıkları dosyalara ilişkin analizinin, bunların çoğunun alışılmadık derecede büyük olduğunu ve ortalama 70 GB civarında olduğunu gösterdiğini söyledi. Aslına bakılırsa en büyük dosyanın ağırlığı 431 GB’tı ve bu oldukça dikkat çekiciydi çünkü fidye yazılımı aktörleri genellikle çaldıkları ve gasp için kullandıkları dosyalar konusunda daha seçici olma eğilimindeydi. Çalınan dosyaların içeriği de bir fidye yazılımı operasyonu için normalden daha değişken ve rastgele olma eğilimindeydi. Scion, “Verilerin büyük hacmi ve çeşitliliği, saldırganın hangi belgeleri çalacağını seçici olarak seçmediğini gösteriyor” dedi. “Bunun yerine, genellikle hassas bilgiler (kişisel, finansal vb.) içeren PDF’ler ve belge taramaları gibi idari dosyaları saklayan veri kaynaklarını hedef alıyor gibi görünüyorlar ve böylece mağdurlar üzerindeki baskıyı artırıyorlar.”
Helldown’ın davranışı da buna benziyor Darkrace, bir LockBit çeşidi Bu ilk olarak Ağustos 2023’te ortaya çıktı ve bu yılın Şubat ayında Donex olarak yeniden markalanmış olabilir. Sekoia, fidye yazılımı türleri arasındaki bağlantıların kesin olmamasına rağmen Helldown’un Donex’in yeniden markalanmış hali olma ihtimalinin bulunduğunu söyledi.
