Siber güvenlik araştırmacıları, Helldown adlı nispeten yeni bir fidye yazılımı türünün Linux versiyonuna ışık tuttu ve tehdit aktörlerinin saldırı odaklarını genişlettiklerini öne sürdü.
Sekoia, “Helldown, LockBit 3.0 kodundan türetilen Windows fidye yazılımını dağıtıyor” söz konusu The Hacker News ile paylaşılan bir raporda. “ESX’i hedef alan fidye yazılımındaki son gelişmeler göz önüne alındığında, grubun mevcut operasyonlarını VMware aracılığıyla sanallaştırılmış altyapıları hedef alacak şekilde geliştirebileceği görülüyor.”
Cehennem öyleydi ilk kez kamuya açık olarak belgelendi Ağustos 2024 ortasında Halcyon tarafından, açıklayan “saldırgan bir fidye yazılımı grubu” olarak sızar Güvenlik açıklarından yararlanarak ağları hedef alın. Siber suç grubunun hedef aldığı önde gelen sektörlerden bazıları arasında BT hizmetleri, telekomünikasyon, üretim ve sağlık hizmetleri yer alıyor.
Diğer fidye yazılımı ekipleri gibi Helldown da bilinen Çifte gasp olarak bilinen bir taktik olan, çalıntı verileri yayınlamakla tehdit ederek mağdurlara fidye ödemeleri konusunda baskı yapmak için veri sızıntısı sitelerinden yararlandıkları için. Üç ay içinde en az 31 şirkete saldırdığı tahmin ediliyor.
Truesec, bir analiz Bu ayın başlarında yayınlanan, ilk erişimi elde etmek için internete yönelik Zyxel güvenlik duvarlarını kullanan, ardından fidye yazılımını dağıtmak için kalıcılık, kimlik bilgileri toplama, ağ numaralandırma, savunmadan kaçınma ve yanal hareket faaliyetlerini gerçekleştiren gözlemlenen ayrıntılı Helldown saldırı zincirleri .
Sekoia’nın yeni analizi, saldırganların Zyxel cihazlarındaki bilinen ve bilinmeyen güvenlik açıklarını kullanarak ağları ihlal ettiğini ve bu açıkları kullanarak ağları ihlal ettiklerini gösteriyor. kimlik bilgilerini çalmak ve SSL VPN tünelleri oluşturmak geçici kullanıcılarla
Helldown’un Windows sürümü başlatıldığında, dosyaları dışarı çıkarmadan ve şifrelemeden önce, sistem gölge kopyalarının silinmesi ve veritabanları ve Microsoft Office ile ilgili çeşitli işlemlerin sonlandırılması da dahil olmak üzere bir dizi adım gerçekleştirir. Son adımda, izleri gizlemek için fidye yazılımı ikili dosyası silinir, bir fidye notu bırakılır ve makine kapatılır.
Fransız siber güvenlik şirketine göre Linux muadili, gizleme ve hata ayıklamayı önleme mekanizmalarından yoksundur ve dosyaları aramak ve şifrelemek için kısa bir dizi işlev içerir, ancak tüm aktif sanal makineleri (VM’ler) listeleyip sonlandırmadan önce değil.
“Statik ve dinamik analiz hiçbir ağ iletişimini, herhangi bir genel anahtarı veya paylaşılan sırrı ortaya çıkarmadı” dedi. “Bu, saldırganın şifre çözme aracını nasıl sağlayabileceğine dair soruları gündeme getirdiği için dikkate değer.”
“VM’leri şifrelemeden önce sonlandırmak, fidye yazılımının görüntü dosyalarına yazma erişimini sağlar. Ancak hem statik hem de dinamik analizler, bu işlevin kodda mevcut olmasına rağmen aslında çalıştırılmadığını ortaya koyuyor. Tüm bu gözlemler, fidye yazılımının çok karmaşık olmadığını ve hâlâ geliştirilme aşamasında.”
Helldown Windows yapıtlarının, Mayıs 2023’te LockBit 3.0 kodunu kullanarak ortaya çıkan ve daha sonra DoNex olarak yeniden markalanan DarkRace ile davranışsal benzerlikler paylaştığı tespit edildi. DoNex için bir şifre çözücü Avast tarafından Temmuz 2024’te kullanıma sunuldu.
Sekoia, “Her iki kod da LockBit 3.0’ın çeşitleridir” dedi. “Darkrace ve Donex’in yeniden markalaşma geçmişi ve Helldown ile önemli benzerlikleri göz önüne alındığında, Helldown’un başka bir yeniden marka olma olasılığı göz ardı edilemez. Ancak bu bağlantı bu aşamada kesin olarak doğrulanamaz.”
Bu gelişme, Cisco Talos’un, ABD’deki sağlık, teknoloji ve hükümet sektörlerini ve Avrupa’daki üretim kuruluşlarını öne çıkaran, Interlock olarak bilinen yeni bir fidye yazılımı ailesini açıklamasıyla birlikte geldi. Hem Windows hem de Linux makinelerini şifreleme yeteneğine sahiptir.
Fidye yazılımını dağıtan saldırı zincirleri, meşru ancak güvenliği ihlal edilmiş bir haber web sitesinde barındırılan ve çalıştırıldığında saldırganların hassas verileri ayıklamasına ve PowerShell’i çalıştırmasına olanak tanıyan bir uzaktan erişim truva atını (RAT) serbest bırakan sahte bir Google Chrome tarayıcı güncelleyici ikili programı kullanılarak gözlemlendi. Kimlik bilgilerini toplamak ve keşif yapmak için yükleri bırakmak üzere tasarlanmış komutlar.
Talos araştırmacıları, “Bloglarında Interlock, ele alınmamış güvenlik açıklarından yararlanarak kuruluşların altyapısını hedef aldığını iddia ediyor ve eylemlerinin kısmen, parasal kazancın yanı sıra şirketleri zayıf siber güvenlikten sorumlu tutma arzusuyla motive edildiğini iddia ediyor.” söz konusu.
Şirket, ticaret, araçlar ve fidye yazılımı davranışlarındaki örtüşmelere dikkat çekerek, Interlock’un Rhysida operatörleri veya geliştiricilerinden ortaya çıkan yeni bir grup olarak değerlendirildiğini ekledi.
“Interlock’un Rhysida operatörleri veya geliştiricileriyle olası bağlantısı, siber tehdit ortamındaki daha geniş birçok eğilimle uyumlu olacaktır” dedi. “Fidye yazılımı gruplarının daha gelişmiş ve çeşitli operasyonları desteklemek için yeteneklerini çeşitlendirdiğini gözlemledik ve operatörlerin birden fazla fidye yazılımı grubuyla giderek daha fazla birlikte çalıştığını gözlemledikçe fidye yazılımı gruplarının daha az izole hale geldiğini gözlemledik.”
Helldown ve Interlock’un gelişiyle aynı zamana denk gelen, bugüne kadar 22 şirketi hedef aldığını iddia eden SafePay adlı fidye yazılımı ekosistemine yeni bir katılımcı daha eklendi. Huntress’e göre SafePay de temel olarak LockBit 3.0’ı kullanıyor, bu da LockBit kaynak kodunun sızıntısının birkaç farklı varyantı ortaya çıkardığını gösteriyor.
Huntress araştırmacıları, şirket tarafından araştırılan iki olayda, “tehdit aktörü iş istasyonlarına atanan gözlenen tüm IP adreslerinin dahili aralıkta olması nedeniyle, tehdit aktörünün faaliyetinin bir VPN ağ geçidi veya portalından kaynaklandığı tespit edildi”. söz konusu.
“Tehdit aktörü, müşteri uç noktalarına erişmek için geçerli kimlik bilgilerini kullanabildi ve RDP’yi etkinleştirdiği, yeni kullanıcı hesapları oluşturduğu veya başka herhangi bir kalıcılık oluşturduğu gözlemlenmedi.”
