Il team Threat Detection & Research (TDR) di Sekoia ha identificato una nuova e pericolosa variante del ransomware Helldown, che per la prima volta colpisce specificamente i sistemi Linux. La scoperta, avvenuta grazie a un tweet del ricercatore di sicurezza informatica @TuringAlex pubblicato il 31 ottobre 2024, segna un’evoluzione significativa per questo Intrusion Set (IS), noto fino ad oggi per attaccare solo sistemi Windows.

Helldown è un gruppo ransomware relativamente nuovo, emerso nel panorama della criminalità informatica a metà del 2024 e documentato per la prima volta nel report di monitoraggio di Cyfirma di agosto. Il gruppo utilizza tattiche di doppia estorsione, esfiltrando grandi quantità di dati sensibili dalle vittime per minacciarne la pubblicazione sulla darknet se il riscatto non viene pagato. Tra le sue vittime più rilevanti si annovera la sussidiaria europea di Zyxel, azienda leader nel settore della sicurezza e delle reti.

In soli tre mesi, Helldown ha rivendicato attacchi contro 31 vittime, principalmente piccole e medie imprese (PMI) negli Stati Uniti e in Europa, con settori chiave come IT, telecomunicazioni, manifatturiero e sanitario nel mirino. Anche grandi aziende sono state colpite, dimostrando la crescente capacità tecnica del gruppo.

Strategie di accesso e dati Esfiltrati

Helldown sfrutta vulnerabilità note per infiltrarsi nelle reti aziendali. Gli attacchi recenti sembrano sfruttare falle nei dispositivi Zyxel, utilizzati per creare tunnel SSL VPN e rubare credenziali. In media, il gruppo sottrae 70 GB di dati per vittima, ma in alcuni casi ha raggiunto i 431 GB. Questo approccio si distingue da altri gruppi ransomware che tendono a esfiltrare dati più selettivi per evitare rilevamenti.

I file sottratti includono prevalentemente documenti PDF, ma possono variare in base al target. Gli analisti di Sekoia sottolineano come questo modus operandi dimostri una strategia aggressiva e poco discreta, volta a massimizzare i danni.

La Variante Linux: caratteristiche tecniche

La variante Linux del ransomware è progettata per colpire i server VMware ESX, una scelta mirata per compromettere ambienti virtualizzati. Secondo l’analisi di Sekoia, il ransomware sfrutta una configurazione XML hard-coded e segue un processo altamente automatizzato:

  1. Scansione dei path: analizza i percorsi di directory forniti per individuare file con estensioni di interesse.
  2. Cifratura parziale o totale: i file vengono crittografati in base alla loro dimensione utilizzando l’algoritmo RSA PKCS1.
  3. Creazione della nota di riscatto: dopo la cifratura, lascia una richiesta di riscatto nel sistema compromesso.
  4. Interruzione di macchine virtuali: è in grado di individuare ed interrompere macchine virtuali attive per massimizzare l’impatto.

Sebbene Helldown non sia al momento associato direttamente a gang di ransomware più note, i ricercatori ipotizzano una possibile connessione con gruppi come Darkrace o Donex, basandosi su somiglianze nel codice malware. Tuttavia, al momento, mancano prove definitive per confermare tali collegamenti.

https://www.securityinfo.it/2024/11/19/scoperta-una-nuova-variante-del-ransomware-helldown-che-colpisce-linux/

https://blog.sekoia.io/helldown-ransomware-an-overview-of-this-emerging-threat/

 

 

 

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: