Investigadores en ciberseguridad han identificado una variante para Linux de un ransomware relativamente nuevo llamado Helldown, lo cual indica que los ciberdelincuentes están diversificando sus métodos de ataque. Según un informe de Sekoia Helldown utiliza un ransomware para Windows basado en el código de LockBit 3.0. Este desarrollo reciente apunta a que el grupo podría estar ajustando sus tácticas para atacar infraestructuras virtualizadas mediante VMware, aprovechando vulnerabilidades en sistemas ESX.
Este ransomware fue mencionado públicamente por primera vez a mediados de agosto de 2024 por Halcyon, que lo describió como una amenaza agresiva especializada en infiltrarse en redes aprovechando fallas de seguridad. Entre los sectores más impactados por este grupo se encuentran servicios de TI, telecomunicaciones, manufactura y salud.
Al igual que otros grupos de ransomware, Helldown recurre a estrategias de doble extorsión. Esto implica el uso de sitios web para filtrar información robada como forma de presionar a las víctimas a pagar el rescate, bajo la amenaza de exponer información sensible. Hasta el momento, se estima que han sido atacadas al menos 31 empresas en solo tres meses.
Un análisis realizado por Truesec, publicado a principios de noviembre, desglosó las tácticas de Helldown, destacando que los atacantes han utilizado firewalls Zyxel expuestos a internet para obtener acceso inicial. A continuación avanzan con actividades como asegurar persistencia en el sistema, recolectar credenciales, mapear redes, evadir defensas y moverse lateralmente para finalmente desplegar el ransomware.
La variante para Windows de Helldown lleva a cabo múltiples acciones antes de cifrar y exfiltrar los datos. Los ciberdelincuentes aprovechan la vulnerabilidad CVE-2024-42057, un fallo de inyección de comandos en la VPN IPSec, que permite a los atacantes ejecutar comandos del sistema operativo con un nombre de usuario falso. Estas acciones incluyen eliminar las copias shadow del sistema, finalizar procesos asociados a bases de datos y aplicaciones de Microsoft Office y finalmente borrar el propio ransomware para ocultar sus rastros. Así mismo, deja una nota de rescate y apaga la máquina infectada.
Por otro lado, la versión para Linux carece de mecanismos avanzados de ofuscación y anti-depuración. Sin embargo, presenta funciones específicas diseñadas para localizar y cifrar archivos, precedidas por la identificación y eliminación de máquinas virtuales activas. El análisis de esta variante no detectó evidencia de comunicación de red ni claves de cifrado predefinidas, lo que plantea interrogantes sobre cómo los atacantes podrían proporcionar herramientas de descifrado a las víctimas.
Apagar las máquinas virtuales antes del cifrado permite al ransomware modificar directamente los archivos de imagen, pero un análisis detallado, tanto estático como dinámico, muestra que aunque esta funcionalidad está presente en el código de Helldown, no se activa realmente. Eso sugiere que el ransomware aún no es muy avanzado y posiblemente está en una etapa de desarrollo.
Síntesis de las TTP utilizadas por Helldown – Sekoia
Se ha identificado que los artefactos de Windows de Helldown presentan comportamientos similares a los de DarkRace, un ransomware que apareció en mayo de 2023 basado en el código de LockBit 3.0 y que posteriormente se renombró como DoNex. En julio de 2024, Avast lanzó una herramienta para descifrar los archivos encriptados por DoNex.
“Ambos códigos derivan de LokBit 3.0, dado el historial de cambios de marca de DarkRace y DoNex, así como las similitudes con Helldown, es posible que este sea otro caso de rebranding, sin embargo, esta conexión no puede ser confirmada en este momento”, dijo Sekoia.
Más información:
- New “Helldown” ransomware variant expands attack to VMware and linux systems. https://thehackernews.com/2024/11/new-helldown-ransomware-expands-attacks.html
- “Helldown” ransomware attacks expand to linux and VMware. https://www.neowin.net/news/helldown-ransomware-attacks-expand-to-linux-and-vmware/
- Helldown ransomware expands to target VMware and linux systems. https://www.infosecurity-magazine.com/news/helldown-ransomware-target-vmware/
Deja una respuesta