Helldown: attacchi ransomware si estendono a Linux e VMware

Il ransomware "Helldown", partito in piccolo all'inizio di quest'anno, ora sta prendendo di mira i sistemi VMware e gli ambienti Linux. A scoprire ciò è stata la società di sicurezza Sekoia. Questa evoluzione evidenzia come gli aggressori stiano trovando nuovi modi per sfruttare le vulnerabilità su tutte le piattaforme. Helldown ha attirato l'attenzione per la prima volta a metà del 2024, prendendo di mira i sistemi Windows. Questo ransomware prende in prestito le sue basi da LockBit 3.0 e mostra sovrapposizioni comportamentali con altri rebrand come Darkrace e Donex. La sua ultima variante Linux va oltre prendendo di mira le macchine virtuali VMware (VM), puntando a bloccare le VM attive prima della crittografia. È interessante notare, però, che i ricercatori hanno scoperto che questa opzione non è ancora completamente funzionale, il che indica che è ancora in fase di sviluppo.

Sul lato Windows, le tattiche di Helldown sono meno raffinate rispetto ad altri ceppi di ransomware avanzati. Ad esempio, utilizza file batch per terminare i processi anziché metodi più sofisticati e incorporati. Tuttavia, il suo focus sulla paralisi delle VM e sulla crittografia dei dati mostra che gli aggressori stanno pianificando qualcosa di grosso. Una caratteristica fondamentale della catena di attacco del ransomware Helldown è l'uso di vulnerabilità nei dispositivi VPN di Zyxel. In particolare, sfrutta la vulnerabilità CVE-2024-42057, un difetto di iniezione di comandi nella VPN IPSec che consente agli aggressori di eseguire comandi del sistema operativo con un nome utente contraffatto.

Helldown: variante Linux ancora work in progress

Gli aggressori sfruttano vulnerabilità non corrette per violare le reti. Una volta all'interno, utilizzano strumenti semplici ma efficaci per aumentare i privilegi, disabilitare la sicurezza ed esfiltrare dati. La variante Linux fa storcere il naso perché, a differenza della sua controparte Windows, non sfrutta comuni trucchi di evasione come l'offuscamento. Questa semplicità suggerisce che si tratti di un work in progress ma comunque pericoloso. Prendere di mira le VM consente agli operatori di ransomware di massimizzare i danni. Eliminando le VM, possono interrompere operazioni critiche nell'IT e in altri settori.

Quest'anno è stato un anno selvaggio per gli attacchi ransomware, più grandi e molto più intelligenti. Uno dei grandi pericoli è stato il ransomware "ESXiArgs", che ha colpito i server VMware vSphere a livello globale. Non era nemmeno una nuova vulnerabilità zero-day. Gli aggressori hanno semplicemente sfruttato sistemi che non erano stati patchati per anni. Oltre a ciò, il rapporto sulla sicurezza di Microsoft ha dipinto un quadro ancora più spaventoso. I criminali informatici e persino gli attori sostenuti dallo stato stanno intensificando il loro gioco con attacchi basati sull'intelligenza artificiale. Gruppi come FakePenny della Corea del Nord non sono solo alla ricerca di denaro, stanno facendo un doppio lavoro rubando anche i dati sensibili degli utenti.